Get Gentoo!
gentoo.org sites
gentoo.org Wiki Bugs Forums Packages
Planet Archives Sources
Infra Status

Gentoo Archives: gentoo-user-ru

From: "Alexander Y. Tiurin" <alexanderyt@×××××.com>
To: gentoo-user-ru@l.g.o
Subject: Re: [gentoo-user-ru] how to check gpg signed Manifest
Date: Fri, 20 Jun 2014 09:10:30
Message-Id: 20140620131011.01d5744c@i7
In Reply to: Re: [gentoo-user-ru] how to check gpg signed Manifest by Sergey Popov
1 On Mon, 16 Jun 2014 13:35:00 +0400
2 Sergey Popov <pinkbyte@g.o> wrote:
3
4 > 14.06.2014 22:31, Alex Efros пишет:
5 > > Hi!
6 > >
7 > > А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как
8 > > подписаны, но, по-моему, эти подписи никто не проверяет. И я не
9 > > смог найти доку как включить проверку подписей. Единственное, что
10 > > удалось найти - вариант с использованием emerge-webrsync[1] вместо
11 > > emerge --sync, но я бы предпочёл продолжить использовать emerge
12 > > --sync (а точнее eix-sync, который его вызывает). Кроме того, не
13 > > понятно как быть с подписями в оверлеях - их-то точно
14 > > emerge-webrsync не скачает, и что делать если разработчик оверлея
15 > > подписывает ebuild-ы и хочется его подписи тоже проверять (или
16 > > считается, что раз у оверлеев нет зеркал, то и смысла в
17 > > подписывании тоже нет)?
18 > >
19 > > [1]
20 > > http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#doc_chap6
21 > >
22 >
23 > В данный момент я думаю всё же никак, если только не импортировать все
24 > ключи разработчиков отсюда[1] в локальный keyring.
25 >
26 > Ведётся разработка gentoo-keys[2], где по идее должна быть подобная
27 > фича. Но недостаток людей очень остро бъёт по скорости реализации фич.
28 >
29 > Это не разгильдяйство, как тут заметили, это банальная нехватка
30 > рабочих рук, страничка "Требуется" не даст соврать[3] :-(
31 >
32 > С security последнее время начались подвижки(благодаря мне и еще
33 > нескольким новеньким там), но там просто чёртова прорва работы, на
34 > которую меня уже начинает нехватать.
35 >
36 > [1] - http://www.gentoo.org/proj/en/devrel/roll-call/userinfo.xml
37 > [2] - http://wiki.gentoo.org/wiki/Project:Gentoo-keys
38 > [3] - http://wiki.gentoo.org/wiki/Project:Gentoo/Staffing_Needs
39 >
40
41 В чем прорва заключается, можно чуть подробнее? Нам опять грозит
42 отсутствие GLSA как это было ЕМНИП год или два назад?

Replies

Subject Author
Re: [gentoo-user-ru] how to check gpg signed Manifest Sergey Popov <pinkbyte@g.o>
Report Message
Find on MARC Find on Google Groups