Debian 儲存庫的安全性

假設有一個帶有二進制.tar.xz格式的開源應用程序，但不是作為一個.deb包。在 Debian SW 儲存庫中有一個.deb軟體包，顯然是由 Debian 社區建構的。

鑑於我信任應用程序本身，我是否也可以信任它在 Debian 儲存庫中的版本？Debian 團隊聲稱他們“非常重視安全”。但是，它在實踐中看起來如何？我能否確保安全團隊審查了所有送出的包並驗證程式碼在打包之前沒有被更改？還是他們只對事件做出反應（例如從回購中刪除包）？

（預想一個問題：使用該.deb軟體包是有益的，因為它簡化了更新和整體維護）。

Debian 安全團隊在上傳之前不會審查所有軟體包，因為他們是一小群志願者，並且存檔中有超過 67,000 個軟體包。我也不知道有任何其他 Linux 發行版（或其他主要項目或分銷商）有這樣的程序。

但是，Debian 建構守護程序確實從其原始碼建構每個包，因此您可以下載原始碼包（使用apt-get source PACKAGENAME）並驗證 tarball 和更新檔是否符合您的預期。所有源包都經過加密簽名，存檔也是如此，因此您可以確保包沒有從上傳的源中修改。

Debian 還主動建構了所有包的可重複性，這樣您就可以自己生成一個位相同的包，並驗證沒有任何內容被篡改。有一個可重複建構和不可重複建構的軟體包列表。

一般來說，Debian 被廣泛認為是值得信賴的二進製文件來源，許多主要組織都在使用它，當然您必須自己做出決定。如果您真的需要審核每個二進制和二進制包，那麼您將不得不自己管理它，因為我不確定任何規模的任何作業系統分銷商都提供該服務。

引用自：https://unix.stackexchange.com/questions/583105