[Gelistirici] pisi paketlerinin imzalanması.

[Furkan Duman]

Merhabalar,

İleride sorun yaratabilme ihtimali olan pisi paketleri imzalarından
bahsetmek istiyorum.

Gördüğüm kadarıyla etrafta birçok pisi ikili paketi uçuşmaya başladı.
Kimi resmi depodan dağılanlar, kimi katkıda bulunmak isteyenlerin
yaptıkları.

Şu ana kadar, kullanıcının kurduğu ikili paketin resmi depodan gelen
"trusted" bir paket olduğu bilgisini pakette tutmadık.

Bu etrafta dolaşmaya başlayan ve resmi deponun desteklemediği yazılım
pisi paketlerinin güvenilirliği konusunda kullanıcıya sunabileceğimiz
bir yöntem kullanmıyoruz. Bu paketlerde ne vardır, ne içerirler,
hakikaten resmi depodan mı çıkmışlardır?

Bence paketler artık imzalanmaya başlanmalı ve pisi komut satırında
olsun, package-manager'da olsun, imzası doğrulanmayan bir paketin
kurulumundan önce kullanıcıya gerekli uyarılar yapılmalı.

Bu konuda nasıl bir çalışma planı izlenecek-izleniyor?

Görüşmek üzere.

-- 
Furkan Duman