我感兴趣的是谁构建了用于分发的 Debian 主包。我知道包需要可重复构建,我不是问任何特定的个人,而是一般的过程(例如,这里如何涉及“信任”以及它的去中心化程度)。
在https://lwn.net/Articles/676799/它说:
更一般地说,Mozilla 相信 Debian 打包者会利用他们的最佳判断来达到与官方 Firefox 二进制文件相同的质量。
在https://wiki.debian.org/Packaging它说:
Debian 软件包由 Debian 开发人员和志愿者社区维护。
我是 Debian 新手,所以如果需要的话请编辑这个问题。
答案1
据我所知,我不是内部人士或专家,所以请阅读最后的链接。
我知道软件包是由打包者/开发人员进行加密签名的。这可以让您的系统知道它来自谁。您的系统拥有每个 Debian 打包者/开发者的公钥。因此,开发人员和最终用户之间存在端到端身份验证。
开发人员密钥在开发人员之间交换,然后通过将其添加到开发人员密钥包中来添加到系统中。
开发者必须出示身份证件:护照等才能添加为开发者。他们还必须建立信任。查看维护者和开发者之间的区别。
请参阅此处了解更多信息:https://wiki.debian.org/DebianDeveloper和https://wiki.debian.org/DebianMaintainer
答案2
有点不清楚您真正想知道什么,因为您似乎已经找到了很好的资源,但我会尝试给出该过程的简短(并非每个细节都准确)描述,并希望我能获得正确的部分(我还没有在 Debian 自己的存储库中使用过这个,但是在工作中设置的不同迭代中,它变得越来越大,越来越自动化,越来越像 - 我是如何理解 - Debian 的系统)。 Debian 中的每个(维护的)软件包都有一个开发人员(或一个开发团队),他们在本地(即在他自己的机器上)获取上游源代码并制作一些文件,详细说明如何制作 Debian 软件包。然后他将其收集到一个源包中,他使用 GPG 对其进行签名并上传到 Debian 的系统之一,如果该系统可以验证源包来自开发人员(凭借有效的签名),则它将源包发送到。然后,这些包以及开发人员直接上传的任何二进制包都会上传到相关存储库,并分发到镜像,您可以从那里下载和安装它们。包(使用一些公共密钥,它显然不能用开发人员的私钥签署东西),并且存储库验证这些签名。