<div dir="ltr"><div dir="ltr">On Fri, 2 Apr 2021 at 20:56, Norbert Preining <<a href="mailto:norbert@preining.info">norbert@preining.info</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Luigi,<br>
<br>
> I follows these steps to check the texlive iso image from linux:<br>
[...]<br>
> Can be  added in some form to the<br>
> <a href="https://tug.org/texlive/acquire-iso.html" rel="noreferrer" target="_blank">https://tug.org/texlive/acquire-iso.html</a><br>
<br>
The same would have to be added to the installer download which is also<br>
signed, and probably some other pages - while not providing anything<br>
that shouldn't be common knowledge.<br></blockquote><div><br></div><div>I agree that this should be common knowledge, but the fact is that many</div><div>TeX users are barely aware of the need to verify downloads because <br></div><div>99% of the time they use distro packages and App Stores that hide the</div><div>details.   Many just want either a "magic recipe" they can follow without</div><div>understanding or a way to disable or ignore the checks.<br></div><div><br></div><div>Debian's <a href="https://www.debian.org/doc/manuals/securing-debian-manual/deb-pack-sign.en.html">https://www.debian.org/doc/manuals/securing-debian-manual/deb-pack-sign.en.html</a></div><div>is a decent model that could (not by chance!) be adapted to TeX Live.<br></div><div> </div><div>Enterprises are now doing supply chain reviews and asking hard <br></div><div>questions about open source repositories.   Use of 3rd party packages</div><div>may be restricted (e.g., no binaries --  always build from sources). For</div><div>TeX Live this forces users to rely on linux distro packages.   The <br></div><div>future may include requirements for 3rd party audits of practices and <br></div><div>policies of open source archive sites.<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Not sure how and in which form we want to add this, but I will think<br>
about it, and discuss with Karl later on.<br></blockquote><div><br></div><div>The document needs to a) educate users who haven't had to deal with <br></div><div>the details of signed packages, and b) provide a document that can be <br></div></div><div>referenced during security reviews.  Since users should be thinking about</div><div>their own supply chain security, it makes sense for one document that</div><div>covers (a) and (b) together.   Some users will ignore most of the contents,</div><div>but it is there for those who don't.<br></div><div><br></div><div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>George N. White III<br><br></div></div></div></div></div>