Re: Package van iemand anders bouwen
M. van Brummelen schreef:
> Hi,
>>>> Uiteraard zou ik een dergelijk package unsigned kunnen laten, of zelf
>>>> signen. Ik weet echter niet wat het beste is.
>>> -us -uc
>>> of
>>> -k<key-id>
>>>
>>> Zie man page van dpkg-buildpackage.
>> Dat wist ik wel, maar het leek me niet netjes.
> Voor eigen/lokale packages is dit prima, voor packages die publiek gaan
> is het niet zo netjes/handig, je wilt immers zeker zijn dat de gebouwde
> package "puur" is en dus gebouwd/ondertekend is door de persoon die
> ontekend heeft. Het ondertekenen geeft de garantie van de identiteit.
Precies.
Ik wou ze ergens neerzetten zodat mensen ze kunnen downloaden.
Of ze uploaden naar backports.org (maar dat mag ik niet want ik ben geen
DD of DM).
>>>> Als het buildd-systeem een package gaat bouwen, dan is daar toch ook
>>>> geen secret key van die developper aanwezig?
>>> Klopt, die tekent de nieuwe pakketten met z'n eigen key.
>> Wanneer dan?
> Na het bouwen en testen van de package ondertekend de Maintainer de .dsc en
> .changes file, als deze gesigneerd zijn word de package geupload naar de
> servers.
>
>> Als ik de sources ophaal met "apt-get source <package>" dan krijg ik ook
>> een foutmelding. Blijkbaar zit er dus wel een sign in een source package.
> Man pgp , je zult de public key van de originele maintainer moeten
> importeren om zeker te zijn dat de package/file juist zijn ondertekend.
Als ik die key geïmporteerd heb, kan ik dan vanaf source dat package
bouwen zonder "-us -uc" zodat het packages gesigned is met zijn key?
(ik heb niets veranderd aan het package).
Of moet ik het toch signen met mijn key?
Met vriendelijke groet,
Paul van der Vlis.
Reply to: