Управляемые репозитории

Alex Fomenko alex.fomenko на gmail.com
Пн Мар 14 06:38:48 UTC 2011 

On Monday 14 March 2011, Ivan Borzenkov wrote: 
>14 марта 2011 07:00:11 Евгений Кузнецов писали:
>> > Во первых - в файле trusted.gpg и директории trusted.gpg.d хранятся
>> > публичные ключи не людей, которым доверяете вы, а ключи репозиториям
>> > которым доверяет apt на вашей машине.
>> 
>> Апт никому не доверяет, доверяет системный администратор ;)
>
>Нечего сказать так начали придираться?
Понимаете, что я могу завести себе несколько ppa репозоториев и подписывать их 
одним и тем же ключём. А теперь предствим что происходит, когда пользователь 
устанавливает пакет с моим вторым репозиторием: мой ключ записывается в 
директорию trusted.gpg.d, но там уже есть мой ключ. Получаем конфликт. Пакет 
не ставится. Второй репозиторий не добавляется.

>> > Но блин, если пользователь уверен, что он будет юзать этот репозиторий,
>> > то это его право.
>> 
>> Разумеется! Но мы ведь говорим об общем случае, о дефолтном поведении,
>> если хотите. А дефолтное поведение, которое имеется сейчас, лучше, чем
>> предлагаемое Вами, как минимум, в смысле безопасности.
>
>При новом релизе что-то случается с репозиторием? Он становится менее
>безопасным? В него начинают что-то загружать злобные хакеры?
При новом релизе репозитории могут не обновится, и весь апгрейд системы просто 
станет из-за сторонних репозиториев. Кроме того апгрейд системы со 
стандартными репозиториями оттестирован довольно многими юзерами, а вот 
определённая комбинация сторонних репозиториев нет. Поэтому в общем случае 
юзеру не гарантируется что у него система вообще заработает после такого 
апгрейда.

>Там абсолютно ничего не меняется, только собирается все с новыми
>библиотеками и возможно новые версии тех-же самых программ.
Никто не обязан в ppa репозитории собирать пакеты для новых версий Убунту.

>Нынешнее поведение хуже как минимум гемороем при обновлении, но в плане
>безопасности ничем не лучше.
В свете вышесказанного подумайте готовы ли вы получить наполовину 
установленную систему и насколько это менее геморно, чем отредактировать 
файлики в sources.d, в которых, кстати, таки меняется название предыдущего 
дистрибутива на новое.

-- 
With best regards, Alex.

Подробная информация о списке рассылки ubuntu-ru