Buenas, On Sun, Jan 17, 2010 at 10:29:50AM -0800, Rodrigo Gallardo wrote: > On Sun, Jan 17, 2010 at 03:25:43PM +0100, ga wrote: > > > > On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote: > > > > > > Hasta que punto es auditable que el .deb que descargamos coincida > > > 100% con el código fuente publicado? > > > > [Un paquete upstream podría añadir un backdor entre versiones] > > > > Si un desarrollador de Debian ve que hay una versión nueva del programa > > que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer > > nada más, el paquete será un .deb perfectamente válido, pero con una > > bonita puerta trasera. > > (Aquí si me siento personalmente ofendido) > > No, la mayoría de los empaquetadores no hacen eso. ¿Alguna vez has > notado que las nuevas versiones tardan más de 15 minutos en estar > empaquetadas? ¿Te has preguntado por qué? La respuesta, en muchas > ocasiones, es precisamente que el mantenedor no va a simplemente > cambiar el .orig.tar.gz y compilar. Hay que leer el diff, entender (a > grandes razgos, por lo menos) qué cambió, actualizar los parches > (algunos de seguridad) que se le aplican al paquete. Sí, hay gente que > no hace eso, y también es posible que uno meta la pata. Pero, en > general, ese comentario tuyo es una falta de respeto a la gran mayoría > de los empaquetadores.
Pues no quería que te sintieras ofendido (ni nadie) por ninguno de mis comentarios, simplemente es una posibilidad, somos humanos :). Nos gusta Debian, pero (personalmente) creo que ciertas cosas hay que analizarlas friamente, sin el corazón en la mano. Por cierto, mantengo un pequeño paquete, y no hago eso. Saludos. > > -- > Rodrigo Gallardo > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
