アカウント名:
パスワード:
GNUでは再発防止策として、8月1日以降全てのソフトウェアリリースに対し、リリース作成者のGPG署名付checksumをつけるようにしています。
All releases after the 2003-08-01 date will have checksums GPG-signed by the GNU maintainer who prepared the release. This assures automatic certification of the integrity of all GNU source from that date onward.
これはこれでよろしいのですが、GNUが(署名の出所, ソフトウェアの名前)の対を確認させてくれるとなお確実なのでは。署名の出所をGNUが確認しないと、誰かが勝手に自分
ついでにもう一つ加えると「gnuftpにアカウントがある=GNUが信頼している」ではありません。 「gnuftpにアカウントがある=過去に不正な行為を行いRejectされてはいない」です。 一般社会においても、将来的に犯罪を犯す可能性がある人物であっても、実際に具体的な犯罪事象を起こす/(未遂、予備罪のある犯罪の場合は)明確な犯意が確認できるまでは犯罪者(容疑者)として扱わないのと同じようなものです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
再発防止策と残る問題 (スコア:4, 参考になる)
GNUでは再発防止策として、8月1日以降全てのソフトウェアリリースに対し、リリース作成者のGPG署名付checksumをつけるようにしています。
これはこれでよろしいのですが、GNUが(署名の出所, ソフトウェアの名前)の対を確認させてくれるとなお確実なのでは。署名の出所をGNUが確認しないと、誰かが勝手に自分
Re:再発防止策と残る問題 (スコア:0)
不正なコードにアカウント保有者のgpg署名が付いていれば、その署名を行った人物が不正なコードを持ち込んだという事が明らかになるので目的は達せられます。
本来のメンテナ以外がアップロードできないようにしてしまうと、緊急のセキュリティFixなどがあった場合に、メンテナの対応が遅れるとリリースも遅れてしまう事にもなり好ましくないと思います。
ついでにもう一つ加えると「gnuftpにアカウントがある=GNUが信頼している」ではありません。
「gnuftpにアカウントがある=過去に不正な行為を行いRejectされてはいない」です。
一般社会においても、将来的に犯罪を犯す可能性がある人物であっても、実際に具体的な犯罪事象を起こす/(未遂、予備罪のある犯罪の場合は)明確な犯意が確認できるまでは犯罪者(容疑者)として扱わないのと同じようなものです。