Bug 40767

Summary: apt не проверяет сhecksums когда дистрибутив не подписан
Product: Sisyphus Reporter: nbr <nbr>
Component: aptAssignee: Ivan Zakharyaschev <imz>
Status: NEW --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: boyarsh, glebfm, imz, klark, ldv, placeholder
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description nbr 2021-08-17 16:41:36 MSK 
Если дистрибутив не подписан или если в sources.list отсутствует упоминание подписи, то
apt не проверяет сhecksums.
Comment 1 Leonid Krivoshein 2021-08-17 16:52:22 MSK 
NOT A BUG. cat /etc/apt/vendors.list.d/alt.list -- [p8], [p9], ... должны быть указаны, чтобы иметь возможность проверять digest. Не указан -- не должен проверяться, так как пакет может быть собран локально. Так задумано и описано в документации апта. Или речь о каких-то других checksums?
Comment 2 Gleb F-Malinovskiy 2021-08-17 16:58:12 MSK 
(In reply to Leonid Krivoshein from comment #1)
> NOT A BUG. cat /etc/apt/vendors.list.d/alt.list -- [p8], [p9], ... должны
> быть указаны, чтобы иметь возможность проверять digest. Не указан -- не
> должен проверяться, так как пакет может быть собран локально. Так задумано и
> описано в документации апта. Или речь о каких-то других checksums?

В vendors.list написаны имена вендоров, а в sources.list написано ключом которого вендора нужно проверять release-файл репозитория.  Если в репозитории есть pkglist, то в нём есть чексуммы и их имеет смысл проверять.