Chapitre 2. Candidature de responsable Debian

Table des matières

2.1. Entrée en matière
2.2. Mentors et parrains Debian
2.3. Enregistrement comme responsable Debian

So, you've read all the documentation, you've gone through the Debian New Maintainers' Guide (or its successor, Guide for Debian Maintainers), understand what everything in the hello example package is for, and you're about to Debianize your favorite piece of software. How do you actually become a Debian developer so that your work can be incorporated into the Project?

Firstly, subscribe to if you haven't already. Send the word subscribe in the Subject of an email to . In case of problems, contact the list administrator at . More information on available mailing lists can be found in Section 4.1, « Listes de diffusion ». is another list, which is mandatory for anyone who wishes to follow Debian's development.

Vous devriez suivre les discussions de cette liste (sans poster) pendant quelque temps avant de coder quoi que ce soit et vous informerez la liste de votre intention de travailler sur quelque chose pour éviter de dupliquer le travail d'un autre.

Une autre liste intéressante est . Voir Section 2.2, « Mentors et parrains Debian » pour les détails. Le canal IRC #debian pourra aussi être utile ; voir Section 4.2, « Canaux IRC ».

Une fois choisie une façon de contribuer au projet Debian, vous devriez entrer en contact avec les responsables Debian qui travaillent sur des tâches similaires. Ainsi, vous pourrez apprendre auprès de personnes expérimentées. Si, par exemple, vous voulez empaqueter des logiciels existants, trouvez-vous un parrain. Un parrain est une personne qui travaillera sur vos paquets avec vous et les enverra dans l'archive Debian une fois satisfait de l'empaquetage. Pour trouver un parrain, envoyez une demande de parrainage à la liste en vous présentant et en décrivant votre paquet (voir Section 7.5.1, « Parrainage de paquets » et https://wiki.debian.org/DebianMentorsFaq pour en savoir plus sur le sujet). Si vous préférez porter Debian sur une architecture ou un noyau alternatif, abonnez-vous aux listes dédiées au portage et demandez-y comment démarrer. Finalement, si vous êtes intéressé par la documentation ou l'assurance qualité (QA), contactez les responsables qui travaillent déjà sur ces tâches et proposez des correctifs et des améliorations.

Évitez d'avoir la partie locale de votre adresse électronique trop générique : des termes comme mail, admin, root, master ou debian devraient être évités. Veuillez consulter https://www.debian.org/MailingLists/ pour plus de détails.

La liste de diffusion a été mise en place pour les responsables débutants recherchant de l'aide avec l'empaquetage initial et d'autres problèmes de développeur. Chaque nouveau développeur est invité à s'abonner à cette liste (voir Section 4.1, « Listes de diffusion » pour les détails).

Ceux qui préfèrent recevoir une aide plus personnalisée (par exemple, par courrier privé) devraient également envoyer des messages à cette liste et un développeur expérimenté se proposera de les aider.

De plus, si vous avez des paquets prêts à être inclus dans Debian, mais que vous attendez que votre demande pour devenir responsable soit acceptée, vous pouvez trouver un parrain pour envoyer vos paquets pour vous. Les parrains sont des développeurs Debian officiels qui sont volontaires pour critiquer et envoyer vos paquets pour vous. Veuillez lire en premier la FAQ de debian-mentors à https://wiki.debian.org/DebianMentorsFaq.

Pour devenir mentor ou parrain, plus d'informations sont disponibles en Section 7.5, « Interaction avec de futurs développeurs Debian ».

Before you decide to register with Debian, you will need to read all the information available at the New Members Corner. It describes in detail the preparations you have to do before you can register to become a Debian developer. For example, before you apply, you have to read the Debian Social Contract. Registering as a developer means that you agree with and pledge to uphold the Debian Social Contract; it is very important that maintainers are in accord with the essential ideas behind Debian. Reading the GNU Manifesto would also be a good idea.

Le processus d'enregistrement a pour but de vérifier votre identité, vos intentions et vos compétences. Le nombre de personnes travaillant pour Debian a atteint 1000 et notre système est utilisé dans plusieurs endroits très importants : nous devons rester vigilants pour éviter un acte malveillant. C'est pourquoi nous contrôlons les nouveaux responsables avant de leur donner un compte sur nos serveurs et de les autoriser à ajouter des paquets dans l'archive.

Pour devenir responsable, il faudra montrer que vous pouvez faire du bon travail et que vous serez un bon contributeur. Pour cela, vous pourrez proposer des correctifs par le système de suivi des bogues (BTS) et maintenir un paquet parrainé par un responsable Debian pendant un temps. Nous attendons aussi des contributeurs qu'ils soient intéressés par le projet dans son ensemble et pas uniquement par leurs propres paquets. Si vous pouvez aider d'autres responsables en fournissant des informations sur un bogue ou même avec un correctif, faites-le !

Pour votre candidature, vous devrez être familiarisé avec la philosophie du projet Debian et avec sa documentation technique. Il vous faudra aussi une clé GnuPG signée par un responsable Debian. Si votre clé GnuPG n'est pas encore signée, vous devriez essayer de rencontrer un responsable Debian pour le faire. La page de coordination des signatures de clé GnuPG devrait aider à trouver un responsable Debian près de chez vous. (S'il n'y a pas de responsable près de chez vous, il peut y avoir des moyens alternatifs pour valider votre identité en tant qu'exception absolue étudiée au cas par cas. Reportez-vous à la page d'identification pour en savoir plus.)

If you do not have an OpenPGP key yet, generate one. Every developer needs an OpenPGP key in order to sign and verify package uploads. You should read the manual for the software you are using, since it has much important information that is critical to its security. Many more security failures are due to human error than to software failure or high-powered spy techniques. See Section 3.2.2, « Gestion de clé publique » for more information on maintaining your public key.

Debian utilise GNU Privacy Guard (paquet gnupg version 1 ou supérieure) comme standard de base. Vous pouvez aussi utiliser une autre implémentation d'OpenPGP. OpenPGP est un standard ouvert basé sur la RFC 2440.

You need a version 4 key for use in Debian Development. Your key length must be greater than 2048 bits (4096 bits is preferred); there is no reason to use a smaller key, and doing so would be much less secure.[1]

Si votre clé publique n'est pas sur un serveur public tel que subkeys.pgp.net, reportez-vous à la documentation disponible à Étape 2 : Vérification d'identité. Cette documentation explique comment placer votre clé publique sur un serveur. L'équipe en charge des nouveaux responsables placera votre clé publique sur les serveurs de clés si elle n'y est pas déjà.

Certains pays limitent l'usage des logiciels de cryptographie. Cela ne devrait cependant pas avoir d'impact sur l'activité d'un responsable de paquet car il peut être tout à fait légal d'utiliser des logiciels de cryptographie pour l'authentification plutôt que pour le chiffrement. Si vous vivez dans un pays où l'utilisation de la cryptographie pour authentification est interdite, contactez-nous pour que nous prenions des dispositions particulières.

Pour faire acte de candidature, il vous faut un responsable Debian qui soutiendra votre candidature (un intercesseur ou « advocate » en anglais). Après avoir contribué au projet Debian pendant un temps, quand vous choisissez de devenir un responsable Debian officiel, un responsable déjà enregistré avec qui vous aurez travaillé dans les derniers mois devra exprimer que, d'après lui, vous pouvez contribuer avec succès au projet Debian.

Une fois trouvé un intercesseur, votre clé GnuPG signée et que vous avez déjà contribué au projet, vous êtes prêt à faire acte de candidature. Il vous suffit pour cela de vous enregistrer sur la page de candidature. Ensuite, votre intercesseur devra confirmer votre candidature. Quand il aura accompli cette tâche, un responsable de candidature (« application manager ») sera désigné pour vous accompagner dans le processus d'enregistrement. Vous pouvez toujours consulter le tableau de bord des candidatures pour connaître l'état de votre candidature.

For more details, please consult New Members Corner at the Debian web site. Make sure that you are familiar with the necessary steps of the New Maintainer process before actually applying. If you are well prepared, you can save a lot of time later on.



[1] Les clés en version 4 sont conformes au standard OpenPGP défini dans la RFC 2440. La version 4 est le type de clé qui a toujours été créé avec GnuPG. Les versions de PGP depuis la version 5.x peuvent également créer des clés version 4, l'autre choix ayant été des clés compatibles pgp 2.6.x (également appelées « legacy RSA » par PGP).

Les clés (primaires) en version 4 peuvent soit utiliser l'algorithme RSA, soit l'algorithme DSA, cela n'a donc rien à voir avec la question de GnuPG à propos de la question du type de clé que vous désirez : (1) DSA et Elgamal, (2) DSA (signature seule), (5) RSA (signature seule). Si vous n'avez pas des besoins spécifiques, choisissez simplement la valeur par défaut.

Le moyen le plus simple de dire si une clé existante est une clé v4 ou une clé v3 (ou v2) est de regarder son empreinte : les empreintes des clés en version 4 sont des sommes de contrôle SHA-1 d'une partie de la clé, il s'agit donc d'une suite de 40 chiffres hexadécimaux, habituellement groupés par blocs de quatre. Les empreintes des anciennes versions de clé utilisaient MD5 et sont généralement affichées par blocs de 2 chiffres hexadécimaux. Par exemple, si votre empreinte ressemble à 5B00 C96D 5D54 AEE1 206B  AF84 DE7A AF6E 94C0 9C7F alors il s'agit d'une clé v4.

Une autre possibilité est d'envoyer la clé dans pgpdump, qui dira quelque chose comme « Public Key Packet - Ver 4 ».

Remarquez également que votre clé doit être auto-signée (c'est-à-dire qu'elle doit signer tous ses propres identifiants d'utilisateur ; cela empêche la falsification d'identité). Tous les logiciels OpenPGP modernes font cela automatiquement, mais si vous avez une ancienne clé, il se peut que vous deviez ajouter manuellement ces signatures.