Bug 40767 - apt не проверяет сhecksums когда дистрибутив не подписан
Summary: apt не проверяет сhecksums когда дистрибутив не подписан
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: apt (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Ivan Zakharyaschev
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-08-17 16:41 MSK by nbr
Modified: 2023-06-29 12:07 MSK (History)
6 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description nbr 2021-08-17 16:41:36 MSK 
Если дистрибутив не подписан или если в sources.list отсутствует упоминание подписи, то
apt не проверяет сhecksums.
Comment 1 Leonid Krivoshein 2021-08-17 16:52:22 MSK 
NOT A BUG. cat /etc/apt/vendors.list.d/alt.list -- [p8], [p9], ... должны быть указаны, чтобы иметь возможность проверять digest. Не указан -- не должен проверяться, так как пакет может быть собран локально. Так задумано и описано в документации апта. Или речь о каких-то других checksums?
Comment 2 Gleb F-Malinovskiy 2021-08-17 16:58:12 MSK 
(In reply to Leonid Krivoshein from comment #1)
> NOT A BUG. cat /etc/apt/vendors.list.d/alt.list -- [p8], [p9], ... должны
> быть указаны, чтобы иметь возможность проверять digest. Не указан -- не
> должен проверяться, так как пакет может быть собран локально. Так задумано и
> описано в документации апта. Или речь о каких-то других checksums?

В vendors.list написаны имена вендоров, а в sources.list написано ключом которого вендора нужно проверять release-файл репозитория.  Если в репозитории есть pkglist, то в нём есть чексуммы и их имеет смысл проверять.