[Gelistirici] depo indekslerinin imzalanmasi
Gürer Özen
gurer at pardus.org.tr
29 Oca 2007 Pzt 13:32:35 EET
29 Oca 2007 Pts 13:21 tarihinde, Furkan Duman şunları yazmıştı:
> Resmi depo haricindeki depolar neden imzalanma gereksinimi duysun?
> Amaç resmi depodaki paketlerin veya depo indeksinin doğruluğunu
> kontrol etmek.
>
> Resmi depoya "güveniyoruz". Ancak imzalansın veya imzalanmasın harici
> bir depoya "güvenmememiz" gerektiğini düşünüyorum.
Mesela A firması kendi kullandığı özel yazılımları da içeren bir depo açtı,
şubelerinde de bu depo kullanılıyor. Şimdi buradaki paketleri bizim
imzalamamız yanlış olur. Öte yandan şubelerin gelen paketin şirketin IT
biriminden geldiğinden emin olması lazım. Yani bu resmi olmayan depoya
güvenmeye gerek yok önkabulü yanlış bir senaryoya dayanıyor.
Biz bir paketle kendi anahtarımızı dağıtabiliriz, aynı şekilde 3. parti
depolar da özel birer paketle kendi anahtarlarını dağıtabilirler. Bunları
kurup kullanma tercihi kullanıcılara kalmış.
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi