Source-md5 w specach

Adam Osuchowski adwol at zonk.pl
Tue Oct 28 00:44:13 CET 2014


Jaki jest cel trzymania Source-md5 w specach? Czy chodzi tylko o rozłożenie
plików na ftpie (vide http://distfiles.pld-linux.org/distfiles/by-md5/...)
czy służy też weryfikacji integralności paczek źródłowych? Jeżeli to drugie,
to może pora na zmianę md5 na sha1 albo sha256? Gdy repozytorium było
w cvsie nie miało to większego znaczenia, ale w przypadku gita robi się
z tego łańcuch zaufania: bezpieczny dostęp do gita (ssh/https) -> drzewo
obiektów identyfikowane przez sha1 -> skrót pliku z paczką źródłową. Zmiana
md5 na coś bezpieczniejszego wyeliminowałoby słabe ogniwo.


More information about the pld-devel-pl mailing list