Rodrigo Gallardo escribió:
Ok, suponiendo que estás usando repos oficiales, tienes garantizado que el .deb que descargas es el que el proyecto generó (porque las listas de paquetes están firmadas por gpg), de modo que sólo requieres verificar que el binario coincide con el fuente. 1. Puedes descargar el paquete fuente y comparar el .orig.tar.gz con el del proyecto original. 2. Ve a la página del paquete en Debian (http://packages.debian.org/<paquete> ) y sígue los vínculos al PTS y de ahí a los logs de compilación. Ahí puedes ver si el paquete fue generado por la infraestructura de Debian o por el mantenedor del paquete. En el primer caso, ya terminaste (a menos que no confies en la infraestructura de Debian, claro) En el segundo, debes resolver si confías en el mantenedor. Y, por supuesto, siempre puedes generar tus propios binarios ;)
Por supuesto que YO confío en Debian ;) El escenario de la hiper-paranoia sería los fuentes del paquete X, con las modificaciones de Debian están publicosDebian compila y empaqueta, pero en ese proceso alguien conocido como MaloMalo adiciona una orden "plan de dominación mundial" :) y genera el .deb
El .deb se supone que no tenga la orden "plan de dominación mundial" pero la tiene porque no está en las fuentes publicadas sino en las que manipuló MaloMalo en el último instante.
por lo que veo de los logs, MaloMalo no tiene forma de incluir su plan sin ser detectado por otros. O me equivoco?
S@lu2 Walber -- ><JHS/o> +-<=<==| (o_ //\ Linux Registered User V_/_ #480598 Berimbau VCL <http://berimbauvcl.sourceforge.net> Just another project to provide Delphi components () ascii ribbon campaign - against html e-mail /\ www.asciiribbon.org - against proprietary attachments