On Wed, Jun 17, 2009 at 09:14:44AM +0400, Alexey Tourbin wrote:
> Во-вторых, подписи пакетов.  Пакеты подписываются довольно серьезным
> ключом.  Если пакеты не проходят, то этим ключом их нежелательно
> подписывать.  Это спорный вопрос.  Я когда над ним думал, то поступил
> острожно -- сделал подпись пакетов в gb-task-commit-repo (прямо перед
> копированием их в master репозиторий).  Это выглядело несколько нелепо,
> и ldv перенес подпись пакетов в gb-task-build-arch-i (сразу после
> сборки).

> > Кривоскрипт в аттаче делает что-то в этом роде (вызывается в
> > конце gb-task-build-arch).
> 
> В принципе hasher repo автоматически генерируется на remote node,
> и поэтому специально делать ничего не надо -- можно просто грамотно
> его оттуда скопировать.

Но если подпись пакетов идёт в girar-builder, то скопировать remote repo
тоже не получится.  Дело в том, что в pkglist.hasher добавляются md5sum
rpm-файлов (CRPMTAG_MD5).  А при добавлении подписи суммы меняются.

Тут появляется ещё одна маленькая неприятная проблема -- должна ли
сборка на remote node в режиме --with-stuff идти с подписанными или
неподписанным (ранее собранными) пакетами.  Правда, добавление подписи
вроде бы влияет на %{sha1header}.

> > for i in $(src_nums); do
> > 	[ -d "build/$i/$arch/rpms" ] || continue
> > 	find "build/$i/$arch/rpms" -type f -name "*.rpm" -exec ln -f -t "build/repo/$arch/RPMS.task" '{}' '+'
> > 
> > 	[ -d "build/$i/$arch/srpm" ] || continue
> > 	find "build/$i/$arch/srpm" -type f -name "*.rpm" -exec ln -f -t "build/repo/$arch/SRPMS.task" '{}' '+'
> > done
> > genbasedir \
> > 	--topdir=build/repo \
> > 	--flat --no-oldhashfile --bz2only --mapi "$arch" task