Signature des ZIP (et écrans de sécurité) distribués
Salut,
Afin de pouvoir vérifier l’authenticité des ZIP, et des écrans de sécurité, ce serait bien de les signer à l’aide de clef(s) OpenPGP.
Le deuxième paragraphe de https://wiki.debian.org/UpstreamGuide#Tarballs fournit quelques liens pour procéder. Dans les grandes lignes (ça ne remplace pas le suivi précis des liens précédents, juste en quelques points ce qui me semble important, ordonné de façon j’espère sensible) :
- les développeurs qui publient les ZIP (et écrans de sécurité) doivent se munir d’une paire de clefs OpenPGP ;
- les signatures détachées des ZIP (et écrans de sécurité) doivent être mis en ligne à coté des fichiers signés ;
- les clefs publiques des développeurs doivent être facilement accessibles (sur le réseau des serveurs de clefs, sur le site officiel, etc.) ;
- les clefs des développeurs doivent être de confiance (c’est à dire signées entre-elles, par d’autres, arriver dans le « strong set » de la toile de confiance…) ;
- ajouter à SPIP la possibilité de vérifier des signatures, et aussi de les mettre à jour (en particulier, en cas de révocation) ;
- utiliser ce mécanisme dans SPIP afin de mettre à jour automatiquement les écrans de sécurité (ou le moteur lui-même).
1 et 4 sont des activités « sociales » (surtout 4, plus longue, mais plus intéressante). 2 et 3 sont détails d’implémentation. 5 et 6 n’ont pas besoin de réinventer la roue (plutôt d’utiliser des classes existantes), ni d’attendre la réalisation de 4.
Arriver à l’étape 3 n’est pas techniquement compliqué. C’est un objectif rapidement accessible qui serait déjà vivement apprécié.
Amicalement
David