Цей сайт найкраще переглядати в сучасному браузері з включеним JavaScript.

Як працюють оновлення з репозиторію?

ps_

Цікавить в плані безпеки, може хтось пояснить на пальцях механізм роботи.

Наприклад, я синхронізуюсь через DNS з певним сервером, домен якого виступає гарантом
Сервер віддає публічний ключ або хеш репозиторію, яким підписані пакунки для гарантування їх цілістності
Потім я можу користуватись будь яким дзеркалом без ризику компрометації

Тут в мене питання в плані що якщо я ініціалізую новий репозиторій через проксі, наприклад:

https_proxy=http://xx.xx.xx.xx:xxxx extrepo enable librewolf

теоретично, провайдер проксі може мені підсунути кривий ключ, яким підписане шкідливе П/З.

Я збирав пакети DEB але жодного разу їх не публікував у сховищах. Не розумію, де тут вузьке місце і на якому етапі важливо отримати коректну мета-інформацію перш, аніж я підключусь через проксі, до альтернативного дзеркала або просто змонтую ISO. Якщо правильно розумію, то додавати репозиторії потрібно з офіційного DNS а забирати дані вже будь звідки, де при встановленні збігаються хеші валідації пакетного менеджера.