Me pregunto si Canonical (y/o Debian) ofrecen algún tipo de garantía de que todos los paquetes en los repositorios principales y universales siempre se construyen a partir de la fuente por sí mismos o son verificados por ellos (en el caso de compilaciones reproducibles deterministas o firmadas) en lugar de simplemente incluir binarios compilados por otros (lo que implica que también debe confiar en ellos, para no estar haciendo algo turbio o poco claro en su proceso de compilación, o usando cualquier cosa fuera del repositorio de fuente pública que no sean claves privadas para firmar, cuando corresponda).
¿Cuáles son las políticas de Debian y Ubuntu sobre esto? ¿Tienen alguna página oficial o declaraciones sobre este asunto? Esperaría que lo hicieran al menos para main, pero ¿qué pasa con universe? ¿En quién estoy "confiando" (para proporcionar lo que dicen haber compilado) cuando instalo algo del universo? ¿Solo Canonical/Debian o también los propios autores?
Relacionado:(alguna información que encontré en compilaciones reproducibles, en su mayoría antiguas)
- ¿Ubuntu funcionará con compilaciones reproducibles?
- ¿Las compilaciones de Ubuntu son deterministas? ¿Por qué no?
- https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
- https://isdebianreproducibleyet.com/
- https://construcciones-reproducibles.org/proyectos/#proyectos-afiliados
Respuesta aceptada:
Los paquetes en main y universe se compilan en la granja de compilación de Launchpad, desde el origen. No es necesario que solicite la verificación de esto, ya que puede encontrarlo usted mismo.
Por ejemplo, en el momento de escribir la compilación más reciente de bind cargado en Ubuntu 20.04 LTS (Focal) es 1:9.16.1-0ubuntu2.5. Puede ver esto a través de la lista de correo pública de cambios focales. Específicamente esta publicación que enlaza con el Launchpad donde puede ver los archivos de origen y las compilaciones, y los registros de compilación para cada arquitectura admitida. Por ejemplo, la compilación amd64 para esa versión de ese paquete se encuentra aquí con el registro de compilación aquí.
Puede repetir este proceso para cada paquete en cada versión de Ubuntu.
Si bien mencioné main y universe, lo mismo se aplica a los paquetes restringidos y multiverse, que también se basan en el launchpad. Sin embargo, pueden contener componentes que no son libres, por lo que no se garantiza que se construyan "desde la fuente", pero hay un paquete fuente para cada uno, incluso si contiene algunos componentes binarios.
Relacionado:¿Dar acceso a VirtualBox solo a usuarios específicos?