Moin,
eigentlich wollte ich das gestern schon fragen, hat nicht wirklich was mit dem zu tun, was heute passiert ist, aber eigentlich doch, sogar jede Menge...
Also:
Kann, und wenn ja wie, ich bei einem 'apt-get upgrade' die Pakete gegen die GPG-Signaturen der Entwickler prüfen? Ich erinnere mich dunkel an einen Vortrag von Heiko bei einer COMTEC, wo es um Vertrauen ging und auch die Rede von GnuPG-Signaturen bei Debian war. Eigentlich ist es doch, ähm, sehr unoptimal, daß man als 'root' Pakete via 'apt-get upgrade' einspielt, ohne wirkliche Chance einer Prüfung. Entweder bin ich zu blind, den passenden Weg dafür zu finden, oder es ist IMHO eine arge Designschwäche (RPM ebenso).
Und nein, die Option den Source zu laden, Zeile für Zeile zu verifizieren und dann zu compilieren ist _keine_ reale Option.
Sorry, ich will niemand auf die Füße treten...
Andreas, Debian auf Internetzugangssystemen einsetzend...