การอัพเกรด meta-release (do-release-upgrade) ปลอดภัยหรือไม่?
ฉันพยายามทำความเข้าใจกับdo-release-upgradeกระบวนการเช่นวิธีที่ Ubuntu แจ้งให้ฉันอัพเกรดเป็นรุ่นถัดไปของ Ubuntu หรือฤดูใบไม้ร่วงของ Ubuntu หลังจากอ่านแหล่งข้อมูลสำหรับubuntu-release-upgraderฉันพบไฟล์/ etc / update-manager / meta-releaseบนระบบของฉัน ไฟล์นี้ใช้ HTTP URL ชี้ไปที่http://changelogs.ubuntu.com/meta-releaseซึ่งมี Ubuntu เผยแพร่หลายรุ่นตั้งแต่ Warty 04.10 ถึง Raring 13.04 ไฟล์นี้แสดงรายการรุ่น, สถานะการสนับสนุน, วันที่วางจำหน่ายและมีลิงค์ไปยังReleaseไฟล์ ตอนนี้Releaseไฟล์นั้นมีลายเซ็น GPG ที่เกี่ยวข้องและ sha1sum ของPackagesไฟล์ซึ่งในทางกลับกันก็มี sha1sum ของไบนารี DEB แต่ละรายการที่ได้รับการติดตั้ง รุ่นล่าสุดยังมีสคริปต์อัปเกรดและลายเซ็น GPG ที่สอดคล้องกันสำหรับสิ่งเหล่านี้ด้วย ทุกอย่างฟังดูดี คำถามของฉันเกี่ยวกับmeta-releaseไฟล์นั้น มันไม่ได้แสดงผ่าน HTTPS และฉันไม่สามารถหาลายเซ็น GPG ได้ หากมีคนแทนที่ไฟล์นี้พวกเขาอาจทำให้เครื่องของฉันอัพเกรด ... ... สู่รีลีสที่ลงนามแล้วซึ่งยังไม่ผ่านการทดสอบความปลอดภัย? ... …