@keimashimari tu parles donc un dépôt scallé. Chose qu'on a depuis des années sur les distributions Linux (en gros). Oui ça ok.
Mais toutes les applications ne sont pas open source (ça me désole mais certains ont leurs raisons). Et cela implique un nombre de contraintes qui ne peuvent pas être réalistes pour des dépôts comme play store et Apple store. Cela demande au vérificateur que le dépôt est bien celui qui contient les sources officielles, donc une vérification manuelle...
@keimashimari je pourrais par exemple avoir un dépôt caché, dire à tout le monde que celui qui est public est celui utilisé par le package. Mais quand je soumets le dépôt, je déclare l'autre. Si personne ne vérifie le build manuellement, en devant connaître le dépôt "officiel", la signature sera valide (car correspond au dépôt déclaré) et personne ne remarquera la gruge. On revient donc au problème courant de la confiance de la source.
@keimashimari aujourd'hui les seules manières de s'assurer que les sources correspondant au dépôt voulu c'est qu'un packageur d'app soit neutre, et qu'il ne soit pas un arnaqueur, que d'autres vérifient ensuite manuellement le build pour valider le package (ce qui est fait sous linux)... Ou de prendre les sources et de compiler soit même toutes les app. Et je sais pas si t'as déjà fait un LFS mais ça prend des jours...
@keimashimari pour info, docker fonctionne de cette manière : je peux proposer mon dépôt, ça builde l'image et n'importe qui peut la récup depuis les dépôts docker hub. Je te raconte pas le nombre de failles répertoriées...
Et pourtant, même moi je m'emmerde pas à reconstruire les images... C'est pourtant mon taff, mais... Manque de temps pour contrôler les 200 images que j'utilise.
PS: une image docker c'est un package en soi.
@keimashimari j'ai pas été clair. Je te demande de déchiffrer mes propos 🙂 je suis crevé ce soir...
@keimashimari tu me diras, ok mais le package devra être construit en indiquant la source. Et là je te demande : combien vont aller vérifier ? Tant que personne ne va faire les verif manuellement, tu restes sur un risque potentiel loin d'être mineur.
Sans compter les délire de packageur qui patchent à la sauvages. Genre Ubuntu, ils ont bien foutu la merde avec openssl y'a quelques temps...