Ubuntu (umake)安全性:包签名？

Question

ubuntu制造 (umake)可以用来安装各种流行的开发工具的最新版本。

这个过程有多安全，它如何与内置到apt-get中的安全性相比，例如通过没有存储在存储库服务器上的密钥进行的数字签名、在工具中发现安全漏洞时的安全、自动更新等等？Apt有一个apt-secure手册页，详细介绍了apt的安全性方法。umake有这样的东西吗？

umake或创建它交付的包的过程是否检查底层包上的任何数字签名，包括Maven Central签名？签名钥匙是如何审核的？该过程是否创建任何签名，反过来，自动检查？如Maven是一个可行的攻击媒介吗？-信息安全堆栈交换所讨论的，这些步骤似乎很重要。

我看到umake还没有进行更新(更新工具·问题74)。是否有任何方法来确定给定的安装工具是否过时了，所以您知道什么时候应该执行“删除/重新安装”解决方案？是否有任何方法检查已安装的umake工具是否存在安全漏洞？打包工具的存档以及任何相关版本和安全元数据是否可以直接在web上检查？如果没有，是否可以通过umake获得？包和元数据的格式是什么？

最后，是否有计划使用更新框架 (TUF)以安全的方式处理软件更新？

Answer 1

我也找不到一个完整的答案。只有一个方面：

Ubuntu最近由于校验和错误而未能安装软件包，因此似乎需要进行一些检查。见f.ex。https://github.com/ubuntu/ubuntu-make/issues/457和https://github.com/ubuntu/ubuntu-make/issues/346.

这并不说明哈希存储在何处等，但似乎至少计算了一个MD5校验和。

更新:似乎有些包有GPG签名。见使用umake安装Android时出错(S)。

更新2:看起来，对于android，他们只是从同样有下载链接的HTML页面下载校验和。见回购，上面写着

“分析Android下载链接，期望找到一个sha1sum和一个url”