On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote: > Cómo convencer a los **Órganos de Seguridad** de un país X (pienso > en Cuba, porque es lo que me toca, pero puede ser cualquiera) de que > no hay ni habrá backdoors en los .deb? (tomados de los repos > oficiales, claro está) > > Hasta que punto es auditable que el .deb que descargamos coincida > 100% con el código fuente publicado?
Ok, suponiendo que estás usando repos oficiales, tienes garantizado que el .deb que descargas es el que el proyecto generó (porque las listas de paquetes están firmadas por gpg), de modo que sólo requieres verificar que el binario coincide con el fuente. 1. Puedes descargar el paquete fuente y comparar el .orig.tar.gz con el del proyecto original. 2. Ve a la página del paquete en Debian (http://packages.debian.org/<paquete> ) y sígue los vínculos al PTS y de ahí a los logs de compilación. Ahí puedes ver si el paquete fue generado por la infraestructura de Debian o por el mantenedor del paquete. En el primer caso, ya terminaste (a menos que no confies en la infraestructura de Debian, claro) En el segundo, debes resolver si confías en el mantenedor. Y, por supuesto, siempre puedes generar tus propios binarios ;) -- Rodrigo Gallardo -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org