From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <a.bokovoy@sam-solutions.net>
Date: Tue, 17 Sep 2002 17:20:38 +0300
From: Alexander Bokovoy <a.bokovoy@sam-solutions.net>
To: devel@altlinux.ru
Subject: Re: [devel] MD5 for tarballs
Message-ID: <20020917142038.GJ19974@sam-solutions.net>
Mail-Followup-To: devel@altlinux.ru
References: <20020917101925.GA2157@kadath.pm.ramax.spb.ru> <20020917125238.GP3014@pyro.hopawar.private.net> <20020917125742.GA16894@kadath.pm.ramax.spb.ru> <20020917132510.GG19974@sam-solutions.net> <20020917131907.GB31787@kadath.pm.ramax.spb.ru> <20020917134304.GH19974@sam-solutions.net> <20020917135057.GA6126@kadath.pm.ramax.spb.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20020917135057.GA6126@kadath.pm.ramax.spb.ru>
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Id: <devel.altlinux.ru>
List-Post: <mailto:devel@altlinux.ru>
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20020917142038.GJ19974@sam-solutions.net/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Tue, Sep 17, 2002 at 05:50:57PM +0400, Igor Homyakov wrote:
> > > Почему же не правильно ? Ссылка дается на оригинал, который имеет
> > > "официальную" подпись (check sum). Неправильно как раз перепаковывать
> > Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
> > уже измениться (версия сменилась, старую убрали). Или тарболл получен в
> > результате cvs checkout. Что здесь делать? Просто существует более чем
> > один способ построения тарболла и получения его.
> Всё это решается в рамках package policy.
Что именно? Как Вы собираетесь решать при помощи package policy принципиальное 
отсутствие тарболла на сайте в случае, когда исходники берутся из CVS? Или
наличие еженочно обновляемого тарболла с этим именем, когда пакет
представляет собой слепок на какую-то дату (пример --
ftp://ftp.ruby-lang.org/pub/ruby/snapshot-stable.tar.gz), пусть и
изготавливаемый авторами, но успешно перезаписываемый через определенный
интервал времени.


> > > исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
> > Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
> > подпись в пакете.
> Человек может элементарно ошибиться, не говоря уже о том что его
> рабочая станция находиться неизвестно где и что на ней твориться никто не
> знает.
За аутентичность кода, который он отправляет в публичный репозитарий 
и подписывает собственным, заверенным в команде, ключем, разработчик 
несет вполне очевидную ответственность. Хотя бы перед командой.

-- 
/ Alexander Bokovoy
---
I must have slipped a disk -- my pack hurts!