我想知道 Canonical(和/或 Debian)是否提供任何形式的保证,即 main 和 Universe 存储库中的所有包总是由它们自己从源代码构建,或者由它们验证(在确定性或签名的可复制构建的情况下),而不是仅仅包括其他人编译的二进制文件(这意味着您也必须信任他们,不要在他们的编译过程中做一些阴暗或不清楚的事情,或者在适用的情况下使用除私钥之外的公共源代码库之外的任何内容进行签名)。
Debian 和 Ubuntu 对此有何政策?他们有关于此事的官方页面或声明吗?我希望他们至少为主要做这件事,但宇宙呢?当我从 Universe 安装某些东西时,我“信任”谁(提供他们声称已编译的内容)?只是 Canonical/Debian 还是作者自己?
相关:(我在可重复构建中找到的一些信息,大部分是旧的)
apt repository open-source official-repositories software-installation
一周前问微软或类似的问题会让我被贴上偏执狂的标签,而问这个关于 Ubuntu 的问题似乎很愚蠢,近乎冒犯。
然后我们发现有一个“每年 250 美元的美国计划与科技公司秘密合作,将弱点插入到产品中”。
这是(邪恶的)天才:如果您将秘密弱点插入到软件或服务中,例如 SSL 密钥生成,那么您入侵窃取数据的工作就会变得容易得多。事实上,这就是为什么这些机构现在显然可以即时解密相当多的 SSL 流量。
我感到自鸣得意,认为开源可以挽救这一天:很难引入在每个人都看到的情况下做一些愚蠢事情的代码(在闭源世界中要容易得多)。尽管这仍然可能发生,例如Debian 的 2008 年大规模 SSH 密钥失败。
那时,slashdot 的人们在问是谁引入了没有人注意到的变化并且使操作系统保持开放状态。
似乎有了 2.5 亿美元的预算,你就有了多种选择来支付某人试图潜入未被注意的漏洞,要么公开,要么像 Debian 一样,更内部。这 2.5 亿美元已被用于贿赂公司。那么规范呢?我喜欢 Ubuntu 并且一直信任它,但知道他们是 (a) 一家公司和 (b) 缺钱,这让我想到:实际上,他们处于非常有利的位置,可以进行如此邪恶的竞标。我的意思是将您所有的本地搜索发送到亚马逊与他们所能做的相比似乎没什么,毕竟,正如沙特尔沃思所说的我们有根!
在德国政府最近发现,他们不能相信Windows 8的机器,将他们移动到Ubuntu?(无论如何,他们都偏向于 Debian。)
我在一个挑衅的庄园里提出这个问题,但我相信它是有效的;我不是在寻求意见,也不是咆哮,而是想看看是否有人可以断然回答“否”(并用证据支持)。