Re: Opera-Browser jetzt kostenlos erhältlich
Am Donnerstag, den 22.09.2005, 14:33 +0200 schrieb Daniel Baumann:
> Daniel Leidert wrote:
> > Als
> > Beispiel, wie ich beides vereinen kann, sei das fglrx-installer-Paket
> > genannt (und schau mal auf die Warnhinweise auf Flavios Seite). Da wird
> > konsistent das Paket vom Hersteller geholt und in den Prozess des
> > Paketebaus eingebunden. Vorausgesetzt, man versteht auch die Patches,
> > ist der gesamte Bau des Pakets absolut konsistent.
>
> Installer-Pakete haben drei Nachteile:
Das Installer-Paket war ein Beispiel.
> 0. waehrend er Paketinstallation muss eine Internetverbindung vorhanden
> sein (die meisten Installerpakete unterstuetzen es nicht, dass man das
> Upstreamfile lokal angeben kann).
>
> 1. auf dem Zielsystem muessen dev-Pakete installiert sein, damit das
> Paket gebaut werden kann.
JFTR: Es benötigt keine dev-Pakete, um ein Archiv zu holen, zu entpacken
und daraus das Paket zu bauen.
> Je nachdem ist das nur debhelper/fakeroot etc.
In dem Fall zusätzlich wget und gzip/bzip2/rpm - je nach Archiv.
> oder eine komplette Build-Umgebung (z.B. fglrx, nvidia etc.).
>
> 2. mehr Aufwand, sowohl zeitlich gesehen als auch von den eingesetzen
> Ressourcen.
Nein. definitiv nicht. Du benötigst so oder so das Quellpaket, eine
Internetverbindung und entpacken musst du es auch. Woher soll der
Mehraufwand an Resourcen kommen? Es benötigt sicherlich etwas mehr Zeit,
das zu skripten.
Der große Vorteil aber: Mehr Konsistenz, einfachere Überprüfung ohne
dass ich 2 Pakete/Archive entpacken und gegeneinander vergleichen muss.
> > Sollte das bei
> > debian-unofficial irgendwann mal der Fall sein, dass ich konsistent die
> > Quelle und das Verarbeiten der Binaries anhand der Quellen
> > nachvollziehen kann, wird sich meine Meinung zu binary-only-Paketen aus
> > diesem Repository vielleicht ändern.
>
> Obwohl ich keine Installer-Pakete mache, kann man das trotzdem sehr
> einfach ueberpruefen.
Definiere "einfach". Man benötigt: dein Paket, das Hersteller-Paket,
Hashsummen. Mit Download der Quellen vom Hersteller ohne Umweg benötige
ich nur dein Quellpaket, um zu verifizieren, was du tust. Und mit ein
wenig Willen, kann man sogar in den Paket-Dateien eine
Hashsummen-Prüfung unterbringen, um das heruntergeladene Archiv zu
verifizieren. Mehr Konsistenz, mehr Sicherheit. Zusätzlicher Vorteil:
Das Quellpaket selbst wäre nur sehr klein.
> > Aber momentan sehe ich nur
> > entpackte Quellen, die zugegeben zum aktuellen Zeitpunkt einer
> > Überprüfung mittels MD5-Summen standhalten.
>
> Siehst du, Ziel erreicht.
Welches Ziel? Eine Momentaufnahme für ein Paket in einem Repsoitory zu
erstellen? Das ist keine Garantie. Und außerdem hat der Leser eigentlich
keinen Grund, mir zu vertrauen. Er müsste es selbst prüfen.
MfG Daniel
Reply to: