> нет, последнее время они держат гит-репы - вероятнее всего, изначально клоны оригиналов
> (не проверял), с напиханными в них своими мусорными деталями.Может вы от греха подальше сперва все-таки проверите, прежде чем объяснять мейнтейнеру Дебиан что он что-то там "напихивает"?
В orig ничего не пихается. Единственная известная мне причина модификации оригинального архива - если там с лицензиями проблема, чтобы в non-free не попасть. При этом, как минимум, из архива должны _выпихивать_ нечто, а не наоборот.
> почти разумный подход был у rpm, когда ничего никогда не переименовывалось,
> архив запаковывался внутрь src.rpm (и можно signed) и был с ним
Ничего разумного в потакании помойке нету. Если можно навести какую-никакую стандартизацию, то почему нет?
> попробуй потом угадай из чего
Зачем гадать? apt-cache search, apt-get download... Какую уж такую страшную проблему составляет преобразование "-" в "_" - теряюсь в догадках.
>> Ну, оно ж туда не откуда-нибудь попадает, а от мейнтейнера пакета.
> а это кто? Вот и я говорю - студент с излишком свободного времени, осиливший написать rules.
> Или поправить две строки в брошенном предыдущим (поскольку тот выпустился и нанялся
> в орацле), что чаще теперь бывает. Скан паспорта и резюме с
> пяти прошлых мест работы у кандидатов не требуют.
Знаний стандартов проекта покуда таки требуют. Плюс еще ftp-masterы есть. Даже если у вас есть право загрузить пакет - не значит, что он попадет в архив.
>> А зачем людям надо работу машины делать? Если апстрим подписывает как-то архив или хоть
>> чексуммы выкладывает
> то достаточно захватить его сайт, чтобы выложить что-то свое. Чексуммы пересчитает скрипт
> в недрах сайта, "зачем работу машины делать".
Вы не поняли. Есть какой-то проект. Никто не мешает ему выпускать релизы, подписывая их открытым ключем, например. Если апстрим такое делает - у мейнтейнеров Debian есть штатные средства для автоматической проверки целостности при импорте архива. Если апстрим не чешется, чтобы такую возможность своим пользователям предоставить - у них ее и не будет, включая Debian.
> хрен-с-горы подписал, всьо чотко. Это ж не репо дистрибутива, где ключей один-два-три и не
> больше, и там действительно возникают вопросы, если подписать другим. Это интернет,
> где подписей больше чем времени на их детальные проверки
И с этим есть решение. Есть Web of Trust Дебиана. Ничто не мешает апстриму стать туда включенным.
Ну а если ничего подобного авторы софтины не делают - да, действительно, возможны все прелести с захватом сайта и т.д. Бдительных мейнтейнеров на безалаберных авторов софта не напасешься, увы.