Qual è il modo migliore per gestire le chiavi di firma dei pacchetti?

7

Sto ricercando un modo per proteggere e abilitare la responsabilità dei nostri pacchetti quando vengono trasferiti dal nostro team di sviluppo, fino a Q + A e infine alla distribuzione.

Ho inizialmente creato una casella di firma a cui i nostri sviluppatori possono accedere e firmare i giri utilizzando la chiave creata da GnuPG. Quindi spostano il pacchetto firmato in una directory 'outbox' per il QA da raccogliere e spostano la loro porzione pubblica della chiave in una directory 'public key'. Ciò tuttavia non è ideale in quanto è possibile effettuare più chiavi pubbliche (false) da parte di ciascun utente ...

Lo scopo ultimo è forzare ogni pacchetto completato a essere firmato da un singolo sviluppatore per garantire la responsabilità e l'integrità mentre il pacchetto si sposta sulla nostra piattaforma operativa.

Pertanto, ho alcune aree che ho bisogno di aiuto / suggerimenti con:

  • Qual è il modo migliore per garantire che venga creata una sola chiave da ciascun utente? (Forse una sceneggiatura?)
  • Qual è il modo migliore per archiviare e recuperare queste chiavi che garantiscano l'integrità?

Grazie mille.

    
posta OddSock 30.10.2012 - 16:22
fonte

1 risposta

4

Non puoi impedire a nessuno di creare una nuova coppia di chiavi. Ma puoi mantenere un elenco di "coppie di chiavi consentite" in cui inserisci solo una coppia di chiavi per sviluppatore e ogni volta che convalidi un rpm firmato, utilizzi tale elenco come base di fiducia.

    
risposta data 30.10.2012 - 16:57
fonte

Leggi altre domande sui tag