1 |
On Sat, 14 Jun 2014 21:31:04 +0300
|
2 |
Alex Efros <powerman@××××××××.name> wrote:
|
3 |
|
4 |
> Hi! |
5 |
> |
6 |
> А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как подписаны, |
7 |
> но, по-моему, эти подписи никто не проверяет. И я не смог найти доку как |
8 |
|
9 |
Ничего существенного не происходит. И вряд ли стоит ждать - идеология не
|
10 |
та и люди не те. Инициатива и твёрдая позиция практически отсутствует
|
11 |
даже у hardened herd, не говоря об остальных.
|
12 |
|
13 |
> включить проверку подписей. Единственное, что удалось найти - вариант с |
14 |
> использованием emerge-webrsync[1] вместо emerge --sync, но я бы предпочёл |
15 |
> продолжить использовать emerge --sync (а точнее eix-sync, который его |
16 |
> вызывает). Кроме того, не понятно как быть с подписями в оверлеях - их-то |
17 |
|
18 |
Пока GLEP 58 не реализован полностью (не подписываются eclass-файлы,
|
19 |
профили и т.п.), это бессмысленное упражнение ради ложного чувства
|
20 |
безопасности. Остаётся webrsync-gpg или CVS.
|
21 |
|
22 |
> точно emerge-webrsync не скачает, и что делать если разработчик оверлея |
23 |
> подписывает ebuild-ы и хочется его подписи тоже проверять (или считается, |
24 |
> что раз у оверлеев нет зеркал, то и смысла в подписывании тоже нет)? |
25 |
|
26 |
Невнимание к безопасности _вообще_ свойственно Gentoo-сообществу.
|
27 |
Например, никого по большему счёту не интересует ни аутентичность
|
28 |
дистфайлов (да и как её проверить?), ни тем более аудит изменений в
|
29 |
новых версиях. Обновления в основном тестируются вслепую, попадают в
|
30 |
portage и теструются вслепую уже пользователями. В код заглядывают
|
31 |
редко и избирательно - для решения конкретных проблем. Безопасность
|
32 |
машин разработчиков обеспечивается по самому минимуму, в рамках
|
33 |
ретроактивного подхода и часто с опозданием. В такой ситуации, даже
|
34 |
если все файлы portage будут подписаны и аутентичность ключей
|
35 |
удостоверена, лишь чуть-чуть уменьшится поверхность атаки. И ничего с
|
36 |
этим не поделаешь: или понимать и осознанно принимать риски, или искать
|
37 |
другой дистрибутив, с другой командой, и осваивать другие практики
|
38 |
работы. |