Проверка пакетов в репозитории

Собирают из исходников же.

Ну а исходники кто проверяет?
Может, там какие-нибудь вредные вставки кода есть?

Мейнтейнеры проверяют. В дебиане на каждую софтину/несколько по человеку.

>там какие-нибудь вредные вставки кода есть

А за это пинать надо разработчиков программы.

> Мейнтейнеры проверяют.

Это-то понятно. :)
Вопрос в том, как именно они проверяют? Не вручную же весь код просматривают.

Кто-то, может, и просматривает. Мейнтейнеры часто бывают авторами патчей. В любом случае, они эти программы собственноручно тестируют.

И ещё есть фактор репутации, «доброго имени» — едва ли разработчик захочет себя скомпрометировать перед целым сообществом.

>Не вручную же весь код просматривают.

он небось только патчи просматривают, а не 10000 строк кода за раз.

> Кто-то, может, и просматривает.

Некоторые мейнтейнеры, возможно, и просматривают код отдельных пакетов и следят за всеми новыми патчами. Но это не для всех же пакетов - их в репозиториях тысячи.

То, что они тщательно тестируют каждый пакет - хм, да тоже сомнительно.

едва ли разработчик захочет себя скомпрометировать

Если уж он решил заняться вредительством, то, разумеется, будет действовать не под своим настоящим именем.

Тестирование делают не только ментейнеры, но и обычные (ну, не совсем обычные ;) пользователи.

Да никак не происходит, что проверят, то проверят. Объемы кода сейчас не те, чтобы можно было за короткое время разобраться. Впрочем в проприетарном ПО вообще ничего проверить не представляется возможным.

То, что они тщательно тестируют каждый пакет - хм, да тоже сомнительно.

Это твои фантазии. В Debian тестируют. Что-то может просочиться в совсем экзотических пакетах, но К.О. намекает, что КПД такой «диверсии» стремится к нулю.

В любом случае, лучшей системы не существует. Сертификация M$ в оффтопике? И сколько программ имеют их цифровую подпись? Именно, что до смешного мало.

А в чём проблема то? Код не меняется кардинально. ПО находит различия текущей и предыдущей версии, после чего мейнтейнер просматривает изменения. Если код изменился очень сильно, то в Debian, пакет вообще попадает в экспериментальную ветку.

Так что всё проверяется.

> Да никак не происходит, что проверят, то проверят.

Так что всё проверяется.

Ок, а где-нибудь в правилах закреплены эти обязанности мейнтейнера? То есть, что он должен по возможности просматривать изменения в коде, либо тестировать пакет именно на наличие вредоносного кода, а не ошибок?

>Ок, а где-нибудь в правилах закреплены эти обязанности мейнтейнера?

Да. И в них написано, что нужно хорошо учиться, читать умные книжки, а не задавать идиотские вопросы на ЛОРе

Если сказать нечего, проходим мимо.

Ок, а где-нибудь в правилах закреплены эти обязанности мейнтейнера? То есть, что он должен по возможности просматривать изменения в коде, либо тестировать пакет именно на наличие вредоносного кода, а не ошибок?

Кэп просил передать, что это зависит от дистрибутива.

Скажем, на примере той же Ubuntu.

За секцию main отвечает Canonical — думаю, это достаточная гарантия. А вот community (не помню точное название) — на совести сопровождающих.

> Кэп просил передать, что это зависит от дистрибутива.

Скажем, на примере той же Ubuntu.

Или Дебиана, без разницы. Я полистал их вики, ничего такого не нашёл.

У Альта есть рекомендация о том, что мейнтейнеру желательно участвовать в разработке программы, но не обязательно.

В Арче бывали случаи, когда после обновления пакета программу вообще никак не проверяли (она просто не работала).

Ну есть и другие случаи .
Вот засовывание Kde 4.0 в дистры - это была диверсия или глупость ? ))

С репозиторием main вопросов нет. Там люди деньги получают за свою работу.

А вот community (не помню точное название) — на совести сопровождающих.

universe

Вот мне и интересно, мейнтейнеры universe несут какую-нибудь ответственность в таких случаях?

Или Дебиана, без разницы. Я полистал их вики, ничего такого не нашёл.

Строгой политики в этом плане, похоже, нет. Там многое держится на доверии и репутации. Этот вопрос тут уже когда-то довольно детально обсуждался.

В Арче бывали случаи

Не надо путать Арч с нормальными дистрибутивами. Там вообще нормой считается использование помойки-AUR.

Вот мне и интересно, мейнтейнеры universe несут какую-нибудь ответственность в таких случаях?

Перед своей совестью ;-)

// Я, например, полностью доверяю Debian.

universe - это на 80% разовый срез реп Debian.
иногда что-то там могут обновить, но чаще не обновляют.
На сколько бинарии universe соотвествуют текущим репам main Ubuntu ?
- а никого не парит , и офицально Canonical не несет ответственности за качество universe ссылаясь на некое «сообщество».
Но все почему-то свято верят, что universe кто-то там обслуживает. Комедия.

> Вот засовывание Kde 4.0 в дистры - это была диверсия или глупость ? ))

Это уже отдельный разговор. :)

> Строгой политики в этом плане, похоже, нет. Там многое держится на доверии и репутации.

Ясно. Всем спасибо за ответы.