>>С чего бы вдруг?
>
>С того что там порты есть.Ну и что?
>>Какое подобие? Нету там никаких репозиториев ПО,
>
>А порты? Софт же не с неба падает вам на винч, правда?
>:)
Каталог дерева портов — это сценарии загрузки, компиляции и установки чужих программ. Своего прикладного ПО из исходников ничего нет.
>>кроме файлопомоек разных, линки на которых в каталоге портов.
>
>Простите, сами порты для начала по смыслу не так уж далеко ушли
>от репозиториев. То что оно чуть иначе сделано - дело хренадцатое
>уже.
Порты программ нигде не хранятся (сюрприз?). На официальных FTP и зеркалах только готовые для установки бинарные пакеты, собранные с дефолтными опциями, да и то — НЕ ВСЕ (сюрприз?). Таким образом на роль репозитория FTP ну никак не подходит. Репозиторий предполагает согласованные по версиям программы и библиотеки, нечто целостное, из которого можно слепить собственную конфигурацию. Для FreeBSD необходимость сборки чего-то из исходников прямо-таки НЕОТВРАТИМА, так как не все бинарные пакеты вендоры разрешают распространять.
>>Подтверждённые файлы архивов с исходниками, неважно, откуда они получены,
>>имеют в сценариях портов хэш-суммы для подтверждения их подлинности,
>
>Хеш-суммы, кстати, можно подделать. Они эффективны только когда используются совместно с публичной
>криптографией.
Обычно используется две хэш-суммы: MD5 и SHA256. И размер архивов в байтах.
Как ты их подделаешь все три? Разве что хакнешь архив разработчика или прорвёшься на тачку мантейнера для теневого коммита.
>В противном случае злоумышленник может их попросту изменить. Цифровые подписи
>делают этот процесс относительно проблематичным т.к. для подписывания надо где-то взять
>приватный ключ, который на то и приватный чтобы не быть в
>свободном доступе. Не очень в курсе как там в портах, но
>в пакетных системах все именно так. Хеши, подлинность которых проверябельна по
>цифровой подписи.
Всё это хорошо, но убунтоюзеры падки на социальную инженерию. Достаточно убунтоюзеру показать, где находится супер-пупер-репозиторий с новыми кульными deb'ами, тут-то он и попался — делай с ним что хошь, хоть с криптографией, хоть без оной — любая программа, загруженная с левого репозитория со всеми атрибутами сильной криптографии не превращается автоматически в белую и пушистую, а тупо делает своё чёрное дело под прикрытием "кульного репозитория".
>>мантейнеры портов известны и ответственны (имеют собственный "сертификат доступа"
>>для коммита в дерево портов). А не "кто-то левый запостил" по типу: "вот
>>у мну есть superproga-xxx.deb, берите и пробуйте".
>
>Простите, а чем майнтайнеры дебиана или иных репов хуже или лучше ваших
>майнтайнеров? :) И вообще чем репы хуже? Вы так и не
>назвали ни одного принципиального отличия. Ни в технологическом, ни в "процессуальном"
>плане.
Уже назвал: несвязанные друг с другом репозитории бинарного кода — худшее, что можно придумать для массированного распространения вредоносного кода в Linux — достаточно провести сеанс социальной инженерии с определённой группой пользователей, и вот они уже начнут рекламировать кульный репозиторий с бомбочками замедленного действия. А что? Для дизассемблирования и анализа зловредного бинарного кода из левого репозитория, который у всех на слуху как самый кульный и прогрессивный, уже не хватит времени — поток хомячков-леммингов уже пошёл скачивать "полезняшки" с гнильцой. Закрыть его просто нет времени.
>Собственно порты в технологическом и "процессуальном" плане достаточно похожи на
>пакетные системы с репами. По общей логике действа, действующим лицам и
>их ответственностям.
Коллекция портов тем и хороша, что она связанная и управляемая в отличие от неизвестно кем созданных левых репозиториев с неизвестно кем подготовленным бинарным кодом.
>И если вы говорите что одно маздай а другое маст хэв - вы, вероятно, попросту гнусно лицемерите.
Я-то? И не думаю. Легче контролировать что-то одно, обеспечивая гарантированную сборку из авторских исходников, чем предлагать пользователям самим подключать левые репозитории с неизвестно каким бинарным кодом.