[Gelistirici] depo indekslerinin imzalanmasi
Furkan Duman
coderlord at gmail.com
29 Oca 2007 Pzt 13:49:43 EET
On 1/29/07, Gürer Özen <gurer at pardus.org.tr> wrote:
> 29 Oca 2007 Pts 13:21 tarihinde, Furkan Duman şunları yazmıştı:
>
> > Resmi depo haricindeki depolar neden imzalanma gereksinimi duysun?
> > Amaç resmi depodaki paketlerin veya depo indeksinin doğruluğunu
> > kontrol etmek.
> >
> > Resmi depoya "güveniyoruz". Ancak imzalansın veya imzalanmasın harici
> > bir depoya "güvenmememiz" gerektiğini düşünüyorum.
>
> Mesela A firması kendi kullandığı özel yazılımları da içeren bir depo açtı,
> şubelerinde de bu depo kullanılıyor. Şimdi buradaki paketleri bizim
> imzalamamız yanlış olur. Öte yandan şubelerin gelen paketin şirketin IT
> biriminden geldiğinden emin olması lazım. Yani bu resmi olmayan depoya
> güvenmeye gerek yok önkabulü yanlış bir senaryoya dayanıyor.
Ben Pardus resmi dağıtımını düşünerek bu senaryoyu kurdum. A şirketi
kendi paketlerini dağıtmaya başladığı anda bu bizim desteklediğimiz
bir depo olmayacak. Bu şirket içinde "güvenilir" bir depo olabilir ama
benim için "güvenilir" değil. İmzalaması da bir anlam ifade etmiyor
demek istedim. Yani buradaki konu bir güven meselesi, önkabul falan
değil.
--
Furkan Duman
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi