武山です
本当はdsc fileのchecksumやGPG SIGNATUREを見て、archiveが正当なのか否かを 判断するlogicが必要なんだろうと思っています。
うーん、Debian の開発者の GPG キーを openSUSE で信頼・インポートしてですか? ファイルが改ざんされていないかではなく、アップロード時に壊れていないか くらいのチェックはできますが…。 (OBSのインタフェースでハッシュ値は見られそうですけど…) Upstream がアーカイブにした署名をチェックするメカニズムは OBS にあった 覚えがあります。(どこかで活用しようという議論を見た覚えがあります) 今回の場合、Upstream ≒ Debian のメンテナーになってしまっているので この場合に該当するかもしれないですが、チェックのためには OBS が理解できる形式で 置かなければいけないですね。 (2013/09/09 1:54), 1xx wrote:
2013年9月9日 1:21 Fuminobu TAKEYAMA <ftake@geeko.jp>:
Debianのfileを頂戴している訳ですので、src.rpmから削除するのはよろしくないと判断しました。 Maintainerの署名もありますし、Sha1, Sha256 sumもありますし…。
これはsrc.rpmに残す方向で作業します。 いや、それはおかしい、というのであればご指導願います。
うーん、ディストリ間でパッチをシェアすることはよくありますが、 DSC や他のディストリの spec を同梱したパッケージには まだ出会ったことはないです…。
これを見た人は、ビルドか何かに使うのかと思うでしょう…。
本当はdsc fileのchecksumやGPG SIGNATUREを見て、archiveが正当なのか否かを 判断するlogicが必要なんだろうと思っています。 今回はそれをサボっているというimageで考えています。
このままでも大丈夫かもしれませんが、どこにも使われていないので、 そのうち誰かに(or 自動的に)消されたりするかもしれません。
どこかでハネられるのであれば、それは仕方ないと思っています。
あと DSC ファイルのライセンスがパッケージと同じであればですが… 違う場合は License タグの修正が必要です。
dsc fileの中には明確にLicenseが何であるかは書かれていません。 中を見る限りSha1sum Sha256sumとGPG SIGNATUREがが主な内容です。 あとは依存関係が書かれています。 これらにLicenseがあるとすればなんでしょうね? これらにLicenseがあるとすれば、 取っちゃうことがかえってマズイ事になるような気がします。
Patch2 egg_4.0.6+0.20041122cvs-19.diff.gz : %patch2 -p 1
少し自信が無いので、もし、できなければすみません。 パッチがパッチだと機械的に判断できたほうが良いですね。
すいません。patchとして当てることができました。
-- Fuminobu TAKEYAMA -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-ja+owner@opensuse.org