¿Hasta qué punto están certificados los repositorios de yum suplementarios por CentoOS?

Acabo de instalar un CentOS nuevo el viernes pasado, así que tengo una máquina decente para probar esto. Y sí, hay una cadena de confianza más o menos consistente.

libsodium está en los EPEL . Es parte del repositorio de REMI, pero REMI es uno de los repositorios que está casi completamente incluido en EPEL. Y, si ya está utilizando un repositorio de RPM fuera de los repositorios base / extras / updates que vienen con CentOS de forma predeterminada, probablemente debería usar EPEL.

EPEL es mantenido por el proyecto Fedora y por lo tanto es parte de RedHat de alguna manera (el proyecto Fedora es parte de RedHat). Esto también significa que RedHat EL incluye un paquete RPM firmado (llamado epel-release , por lo que yum install epel-release lo comprueba) que (entre otros cambios) instalará la clave PKI en /etc/pki/RPM-GPG-KEY-EPEL-7 . Y el paquete libsodium en el repositorio de EPEL se canta con esa clave.

Advertencia: los paquetes EPEL se verifican de la mejor manera posible. Y, dado que estos paquetes evolucionan mucho más rápido que los repositorios de base / extras / updates, pueden presentar un mayor riesgo. En otras palabras, EPEL tiene una mejor cadena de confianza que tomar paquetes directamente desde REMI, sin embargo, si eres paranoico, no debes usar repositorios adicionales en absoluto.

CentOS es un sistema operativo. No puede certificar nada.

Si está preguntando si los paquetes se verifican criptográficamente con una clave que forma parte de CentOS: sí. La clave pública para este repositorio es parte de una instalación actual de CentOS

Si está preguntando si alguien le garantiza que los paquetes en el repositorio cumplen con los requisitos que pueda tener: no, nadie lo hace

Pero estás usando CentOS. Nadie te garantiza nada para tu sistema operativo de todos modos. Si necesita seguridad jurídica, debe pagar un contrato de soporte. Lo que se garantiza exactamente depende de su contrato.