Notícia: Verificação dos pacotes do pacman

Durante os últimos seis meses, o recurso de verificação de pacote do pacman foi desativado por padrão enquanto estávamos tentando descobrir os detalhes da nossa infraestrutura de chave pública.

Finalmente, o recurso foi habilitado no pacman-4.0.3-2; quando for atualizar seu sistema, você será solicitado a executar:

pacman-key --init
pacman-key --populate archlinux

Isso configura um chaveiro local para o pacman, que preenche com os dados necessário para autenticar os pacotes oficiais. Isso inclui cinco chaves mestra usadas para autenticar os pacotes do Arch Linux (desenvolvedores e usuários confiáveis), portanto você não precisa saber quem entra ou quem deixa a equipe: você só precisa verificar as cinco chaves mestra. Ao executar o comando será pedido para fazer isso, faça com cuidado por favor, verificando as identificações mostradas com as publicadas em nosso site.

Em seguida, mescle o seu pacman.conf com o pacman.conf.pacnew, ou seja, permita a verificação de pacote através da opção SigLevel, deve ser o suficiente.

Para mais detalhes sobre o desenvolvimento do pacman e archlinux-keyring, veja os posts no blog do Allan e Pierre.

URL da notícia: http://www.archlinux.org/news/having-pacman-verify-packages/