On Thu, Aug 30, 2007 at 07:24:27PM +0400, Alexey Tourbin wrote:
> On Thu, Aug 30, 2007 at 07:12:42PM +0400, Dmitry V. Levin wrote:
> > On Thu, Aug 30, 2007 at 04:44:44PM +0400, Alexey Tourbin wrote:
[...]
> > > Скажешь не может такого быть?  А вот сделаю такой пакет и будет.
> > > Назову его foobar.
> > 
> > А что мешает делать так уже сейчас?
> 
> Ничто не мешает.

Если пренебречь всякими provides/obsoletes, то можно предложить такую
проверку:

Проверяются права согласно имени собранного srpm-пакета.
Кроме того, для каждого собранного бинарного пакета,
если бинарный пакет с таким именем уже есть в репозитории, то
проверяются права согласно имени соответствующего ему srpm-пакета.

Поясню на примере.  Если ты отправляешь на сборку тэг, из которого
собирается srpm-пакет по имени foobar и бинарный пакет по имени
glibc-core, то результат сборки будет пропущен только если ты можешь
публиковать foobar И glibc.

> Сборочная система должна быть надёжной, особенно в отсутствиe человека,
> который регулярно проверяет результат (перед публикацией).  Это значит,
> что система должна быть устойчива к атакам, особнно к атакам типа
> подмены и фальсификации.
> 
> Вот приходится выдумывать, какие могут быть атаки на фальсификацию.

А что, давайте придумывать.

> Как бороться с "неопределённым" именем в Name?  Я уже предложил решение:
> пакет собирается на всех архитектурах; после этого все srpm_NSVR должны
> совпадать.  Несовпадение srpm_NSVR на разных архитектурах означает атаку
> на фальсификацию имени пакета.

Хорошая проверка, но не достаточная.


-- 
ldv