Simplemente comentar que desde mi punto de vista estaría muy bien el añadir en la zona de descargas el código fuente de la imagen para poder compilar uno si quisiese la imagen pertinente, que en la imagen compilada estuviera signada por una clave privada del equipo de openspa y en un archivo separado la hash de la imagen para comprobar la integridad del binario. Evidentemente publicar también la clave pública para poder descargarla.
Un directorio parecido a este;
decoX/ *.zip ,
decoX/ *.zip.sig ,
decoX/pk.pub
decoX/hash.txt
decoX/códigoFuente.tar.gz
Entiendo perfectamente que para la mayoría de la gente esto le es indiferente, no le da importancia o desconoce estas cosas.
Pero, considero que es buena praxis.
PD: Conozco el repositorio de openspa en github.
Un directorio parecido a este;
decoX/ *.zip ,
decoX/ *.zip.sig ,
decoX/pk.pub
decoX/hash.txt
decoX/códigoFuente.tar.gz
Entiendo perfectamente que para la mayoría de la gente esto le es indiferente, no le da importancia o desconoce estas cosas.
Pero, considero que es buena praxis.
PD: Conozco el repositorio de openspa en github.