Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
На этот форум и wiki ведут ссылки с официальных сайтов Mageia.
У форума нет нигде и никаких чатов, wiki пока не работает (в процессе подключения), идёт небольшая реорганизация.Форум закрывается, подробности в теме «Реорганизация форума».
Mageia Russian Community Forum → Репозиторий MRC → Цифровая подпись пакетов
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Чтобы обсуждение этого вопроса не началось в топике Принятие заявок в майнтейнеры, сразу выделяю для этого отдельную тему.
Пару раз в теме проскочило упоминание о цифровых подписях пакетов. Но дальше упоминания дело не пошло. Только цифровая подпись пакета может удостоверить его аутентичность и безопасность. Проект становится достаточно серьёзным и солидным, нужно подписать пакеты сообщества.
Тоже считаю, что пора уже начать задумываться о подписи пакетов. Лишним это не будет точно.
Этот вопрос тесно связан с запуском сборочной. omerta13 ее настраивает. Пакеты, собранные на сборочной, естественно, будут подписаны цифровой подписью.
Глобальная пересборка наших пакетов будет при переходе на Mageia 3. А пока будет период запуска и тестирования сборочной. Если всё со сборочной будет ОК, то полагаю, что начиная с Mageia 3 будут подписаны цифровой подписью абсолютно все пакеты.
Пакеты можно подписывать и без сборочной: rpm --addsign и rpm --delsign. Это так, если вдруг кто-то с бодуна решит пакет подписать 
Речь идет, как я понял, об общей одинаковой подписи для всех пакетов в нашем репозитории.
Будет правильным если цифровую подпись будет ставить исключительно сборочная.
Будет правильным если цифровую подпись будет ставить исключительно сборочная.
Это не может быть автоматическим процессом. Пакет должен подписываться владельцем цифровой подписи после того, как он убедился в его работоспособности, безопасности и готов нести за свою подпись ответственность. Владелец подписи решает, когда пакет можно перенести из тестовой ветки в основную. При этом и производится подпись.
Тогда какой смысл? У нас и так известно кто пакет залил в основные репы и кто за него отвечает. Просто если и подписывать, то подписывать все пакеты в репозитории, а это тогда на автомате в сборочной. Иначе просто смысла нет у этой подписи.
Тогда какой смысл? У нас и так известно кто пакет залил в основные репы и кто за него отвечает. Просто если и подписывать, то подписывать все пакеты в репозитории, а это тогда на автомате в сборочной. Иначе просто смысла нет у этой подписи.
Смысл не для участников форума, где все знают друг друга. Цифровая подпись нужна для пользователей, плохо знакомых с дистрибутивом, начинающих, либо тех, кто хочет на него перейти. Предупреждения об отсутствии цифровой подписи при установке из официального (ну, будем его таковым считать) репозитория как-то напрягают. Будущие пользовательские сборки Mageia (видимо, начиная с Mageia-3) вполне могут содержать пакеты из этого репозитория и без подписи - ну уж совсем будет не солидно.
Давайте подпишим все пакеты в репозитории скриптом на автомате, потому что смысл подписи пока лишь в том, чтобы не было предупреждений. И поставим скрипт на крон чтобы сам подписывал при добавлении пакета в репозиторий.
Давайте подпишим все пакеты в репозитории скриптом на автомате, потому что смысл подписи пока лишь в том, чтобы не было предупреждений. И поставим скрипт на крон чтобы сам подписывал при добавлении пакета в репозиторий.
Решать - ответственному за репозиторий. А смысл подписи совсем не в том, чтобы не было предупреждений. Подпись удостоверяет происхождение и безопасность пакета. Во всех дистрибутивах с этим очень строго.
Ну так она и подтвердит, что происхождение пакета - из нашего репозитория, безопасность тоже, что пакет не откуда-нибудь, а именно из нашего репозитория.
Погодите, товарищи! Цифровая подпись пакета просто служит средством удостовериться, что пакет действительно принадлежит определённому репозиторию. Т. е. цифровая подпись усложняет потенциальную фальсификацию, чтобы злоумышленник не смог подменить репозиторный пакет своим. А уж свойства пакета, стабильность и пр. это на совести мейнтейнеров
omerta13 я точно также сказал, только другими словами. Поэтому, надо просто скрипт на автомат поставить - пусть наши пакеты подписывает.
Нужен скрипт с автоматическим подписыванием наших пакетов. При сборке MagOS, я посмотрел, надо указать ключ.
Сделаем. Подписывать будем один раз или каждый для себя ключи сделает и будет подписывать?
Пусть там автоматом само подписывает.
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Mageia Russian Community Forum → Репозиторий MRC → Цифровая подпись пакетов
Работает на PunBB, при поддержке Informer Technologies, Inc, при поддержке sevo44.ru