On Sat, Sep 23, 2006 at 08:04:22PM +0400, Aleksey Avdeev wrote:
> Dmitry V. Levin пишет:
> > On Sat, Sep 23, 2006 at 07:23:46PM +0400, Sergey Vlasov wrote:
> ...
> >>Пока это не произойдёт,
> >>смотреть на tar придётся.  И мне не нравится, что сейчас этот tar
> >>может содержать непонятно что вместо оригинальных исходников.
> > 
> > Вместо оригинальных исходников всегда можно положить что угодно.
> > Будем рассчитывать на здравый смысл, хотя было бы здорово найти способ
> > определения степени нативности (не tar-файлов, а содержимого
> > gear-репозитория).
> 
>   GPG подписи для commit`ов/тагов?

Это способ проверить авторство тэгов.
Под нативностью подразумевается соответствие с кодом, который выпускает
upstream.  Поскольку при помещении в gear-репозиторий идентичность
несколько утрачивается (как минимум не сохраняются даты модификации
файлов), стандартные механизмы проверки (upstream'ные .sig файлы) не
годятся, нужно найти что-то более подходящее.


-- 
ldv