On Tue, Jul 13, 2010 at 10:58:09PM +0400, Alexey I. Froloff wrote:

AIF> Сочетание _такого_ %buildhost и отсутствие gpg подписи говорит о
AIF> том, что пакет собирался неизвестно кем, неизвестно где,
AIF> неизвестно в каком окружении и неизвестно с какими проверками.
AIF> Такие случаи уже бывали и "старопользователи" помнят чем это
AIF> обычно заканчивается.  Это кстати был самый первый "бранч",
AIF> насколько я знаю.

Насколько я понимаю, тот факт что это выложено в их репозитории --
означает что "это собрал кто-то, кто имеет туда доступ". Что это за
человек понять невозможно, а отвечать за качество они не собираются.

Также напомню, что при сборке из git у мантейнера нет возможности
подписать srpm. И при любой удаленной сборке -- подписать binary rpm.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------