假设有一个开源应用程序,其二进制文件以.tar.xz格式提供,但不是作为.deb包。Debian SW 存储库中有一个.deb显然是由 Debian 社区构建的软件包。
鉴于我信任应用程序本身,我是否也可以信任 Debian 存储库中的它的版本?Debian 团队声称他们“非常重视安全”。不过,实际情况如何呢?我能否确定安全团队会审查所有提交的包并验证代码在打包之前没有被更改?或者他们只在发生事件时做出反应(例如从存储库中删除包)?
(预见一个问题:使用该.deb包是有益的,因为它简化了更新和整体维护)。