Digamos que hay una aplicación de código abierto con archivos binarios disponibles en .tar.xz formato, pero no como .deb paquete. Y hay un .deb paquete en el repositorio de Debian SW aparentemente creado por la comunidad de Debian.
Dado que confío en la aplicación en sí, ¿puedo también confiar en su versión en el repositorio de Debian? El equipo de Debian afirma que "se toman la seguridad muy en serio". Sin embargo, ¿cómo se ve en la práctica? ¿Puedo estar seguro de que el equipo de seguridad revisa todos los paquetes enviados y verifica que el código no se modificó antes de empaquetarlos? ¿O solo reaccionan (por ejemplo, eliminan el paquete del repositorio) ante un incidente?
(Para anticipar una pregunta:es beneficioso usar el .deb paquete, porque simplifica la actualización y el mantenimiento general).
Respuesta aceptada:
El equipo de seguridad de Debian no revisa todos los paquetes antes de cargarlos porque son un pequeño grupo de voluntarios y hay más de 67 000 paquetes en el archivo. Tampoco conozco ninguna otra distribución de Linux (u otro proyecto o distribuidor importante) que tenga dicho procedimiento.
Sin embargo, los demonios de compilación de Debian compilan cada paquete desde su fuente, por lo que puede descargar el paquete fuente (con apt-get source PACKAGENAME ) y verifique que el tarball y los parches sean los esperados. Todos los paquetes fuente están firmados criptográficamente, al igual que el archivo, por lo que puede estar seguro de que los paquetes no se han modificado desde la fuente que se cargó.
Debian también tiene una iniciativa para construir todos los paquetes de forma reproducible para que pueda producir un paquete idéntico bit a bit por su cuenta y verificar que no se haya manipulado nada. Hay una lista de paquetes que se compilan y no de forma reproducible.
En general, Debian se considera ampliamente como una fuente confiable de binarios y numerosas organizaciones importantes lo usan, aunque, por supuesto, usted debe tomar su propia determinación. Si realmente necesita que se auditen todos los paquetes binarios y binarios, tendrá que administrarlo usted mismo, ya que no estoy seguro de que ningún distribuidor de sistemas operativos de ningún tamaño proporcione ese servicio.