Le mardi 15 octobre 2013 à 16:34, Johnny B a écrit :
Je suis ok avec toi sur le principe d'intégrité et d'authenticité,
en revanche qu'est ce qui garantit que la team mozilla n'a pas foiré
sa nouvelle version avec un tas de saloperie dedans ?
Seule la lecture (attentive) du code source peut le garantir, ce que (presque)
personne ne fait.
Je pousse un peu le bouchon mais http://www.mozilladeb.fr/
communique la licence sur laquelle les packages sont distribués et
le contact du dev du coup perso j'ai peu de suspicion quant a un
package corrompu ...
Note que je n'ai rien contre eux, ils servent juste d'exemple à mon propos !
Je voulais simplement faire contre-pied à l'idée qu'on peut activer un dépôt
sans prendre la peine de réfléchir à l'impact (idée qu'Ubuntu s'est chargé de
répandre avec l'invention des PPA).
Par exemple, un dépôt non-officiel et pourtant très répandu est celui de
Christian MARILLAT (deb-multimedia.org). Je pense qu'on peut l'estimer digne de
confiance, mais qu'en est-il de tous ces dépôts qu'on trouve un peu partout
(notamment ceux référencés sur http://www.apt-get.org/) ?
Je n'ai pas de réponse (et personne n'en a), juste un conseil : méfiance !
Seb