Chapitre 3. Devoirs du développeur Debian

Table des matières

3.1. Devoirs du responsable de paquet
3.1.1. Œuvrer pour la prochaine publication stable
3.1.2. Maintenance de paquets dans stable
3.1.3. Gestion des bogues critiques pour la publication
3.1.4. Coordination avec les développeurs amont
3.2. Devoirs administratifs
3.2.1. Mise à jour des renseignements auprès de Debian
3.2.2. Gestion de clé publique
3.2.3. Votes
3.2.4. Départ en vacances poli
3.2.5. Démission
3.2.6. Revenir après démission

As a package maintainer, you're supposed to provide high-quality packages that are well integrated into the system and that adhere to the Debian Policy.

Providing high-quality packages in unstable is not enough; most users will only benefit from your packages when they are released as part of the next stable release. You are thus expected to collaborate with the release team to ensure your packages get included.

Plus concrètement, vous devriez surveiller si vos paquets migrent vers testing (consultez Section 5.14, « La distribution testing »). Lorsque la migration n'a pas lieu après la période d'essai, vous devriez analyser pourquoi et œuvrer pour corriger cela. Votre paquet pourrait avoir besoin d'être corrigé (dans le cas de bogues critiques pour la publication ou d'échecs de construction sur certaines architectures) mais cela peut également signifier mettre à jour (ou corriger, ou supprimer de testing) d'autres paquets pour permettre de terminer une transition dans laquelle votre paquet est enchevêtré à cause de ses dépendances. L'équipe en charge de la publication devrait pouvoir vous renseigner sur ce qui bloque actuellement une transition donnée si vous ne parvenez pas à l'identifier.

Habituellement, vous devriez traiter les rapports de bogue sur vos paquets tel que cela est décrit en Section 5.8, « Manipulation des bogues ». Cependant, une catégorie spéciale de bogues nécessite particulièrement votre attention : les bogues critiques pour la publication (« release-critical » ou RC). Tous les rapports de bogue de gravité critical, grave ou serious rendent le paquet inapproprié pour être inclus dans la prochaine version stable. Ils peuvent donc retarder la publication de Debian (quand ils concernent un paquet de testing) ou bloquer des migrations vers testing (quand ils concernent seulement le paquet d'unstable). Au pire, ils pourraient conduire à la suppression du paquet. C'est pourquoi ces bogues doivent être corrigés au plus tôt.

Si pour une raison ou une autre, vous ne pouvez pas corriger un bogue critique pour la publication dans un de vos paquets en moins de deux semaines (par exemple à cause de contraintes de temps, ou parce que c'est compliqué à corriger) vous devriez le signaler clairement dans le rapport de bogue en l'étiquetant help pour encourager d'autres volontaires à s'impliquer. Sachez que les bogues critiques pour la publication sont souvent les cibles de mises à jour indépendantes (consultez Section 5.11, « Mises à jour indépendantes (NMU) ») car ils peuvent bloquer la migration vers testing de plusieurs paquets.

Un manque d'attention aux bogues critiques pour la publication est souvent considéré par l'équipe d'assurance qualité comme un signe de disparition d'un responsable n'ayant pas abandonné correctement son paquet. L'équipe MIA pourrait aussi s'impliquer, avec comme éventuelle conséquence l'abandon de vos paquets (consultez Section 7.4, « Gestion des responsables non joignables »).

Une grande part du travail de responsable Debian sera de rester en contact avec les développeurs amont. Parfois, les utilisateurs signalent des bogues qui ne sont pas spécifiques à Debian. Vous devez transmettre ces rapports de bogue aux développeurs amont pour qu'ils soient corrigés dans les versions suivantes.

Bien qu'il ne soit pas de votre responsabilité de corriger les bogues non spécifiques à Debian, vous pouvez le faire si vous en êtes capable. Quand vous faites de telles corrections, assurez-vous de les envoyer également au développeur amont. Les utilisateurs et responsables Debian proposent souvent des correctifs pour corriger des bogues amont, il vous faudra alors évaluer ce correctif puis le transmettre aux développeurs amont.

Si vous avez besoin de modifier les sources d'un logiciel pour fabriquer un paquet conforme à la Charte Debian, vous devriez proposer un correctif aux développeurs amont pour qu'il soit inclus dans leur version. Ainsi, vous n'aurez plus besoin de modifier les sources lors des mises à jour amont suivantes. Quels que soient les changements dont vous avez besoin, il faut toujours essayer de rester dans la lignée des sources amont.

Si vous estimez que les développeurs amont sont ou deviennent hostiles envers Debian ou la communauté du logiciel libre, vous pouvez vouloir reconsidérer le besoin d'inclure le logiciel dans Debian. Parfois, le coût social à la communauté Debian ne vaut pas le bénéfice que le logiciel peut apporter.

Un projet de la taille de Debian repose sur certaines structures administratives pour garder une trace de tout. En tant que membre du projet, vous avez quelques devoirs pour veiller à ce que tout se déroule sans problème.

Une base de données LDAP contient des informations sur les développeurs Debian en https://db.debian.org/. Vous devriez y entrer vos informations et les mettre à jour quand elles changent. Le plus important est de vous assurer que l'adresse vers laquelle est renvoyée le courrier à destination de votre adresse debian.org est toujours à jour, de même que l'adresse à laquelle vous recevez votre abonnement à debian-private si vous choisissez d'être abonné à cette liste.

Pour plus d'informations sur cette base de données, veuillez consulter Section 4.5, « Base de données des développeurs ».

Be very careful with your private keys. Do not place them on any public servers or multiuser machines, such as the Debian servers (see Section 4.4, « Serveurs Debian »). Back your keys up; keep a copy offline. Read the documentation that comes with your software; read the PGP FAQ and OpenPGP Best Practices.

Assurez-vous que votre clé est non seulement à l'abri des vols, mais aussi d'une perte. Générez et faites une copie (c'est même mieux sur papier) de votre certificat de révocation ; il est nécessaire si votre clé est perdue ou volée.

If you add signatures to your public key, or add user identities, you can update the Debian key ring by sending your key to the key server at keyring.debian.org. Updates are processed at least once a month by the debian-keyring package maintainers.

Pour ajouter une nouvelle clé ou supprimer une ancienne clé, vous devez faire signer la nouvelle clé par un autre développeur. Si l'ancienne clé est compromise ou invalide, vous devez également ajouter le certification de révocation. S'il n'y pas de bonne raison pour une nouvelle clé, les responsables du trousseau peuvent rejeter la nouvelle clé. Vous trouverez plus de détails en http://keyring.debian.org/replacing_keys.html.

Les mêmes routines d'extraction de clé décrites en Section 2.3, « Enregistrement comme responsable Debian » s'appliquent.

You can find a more in-depth discussion of Debian key maintenance in the documentation of the debian-keyring package and the http://keyring.debian.org/ site.

Bien que Debian ne soit pas vraiment une démocratie, le projet utilise un processus démocratique pour élire les responsables de projet et approuver les résolutions générales. Ces procédures sont définies par la constitution Debian.

En dehors de l'élection annuelle du responsable de projet, les votes ne se tiennent pas régulièrement et ne sont pas entrepris à la légère. Chaque proposition est tout d'abord discutée sur la liste de diffusion et a besoin de plusieurs approbations avant que le secrétaire du projet n'entame la procédure de vote.

Vous n'avez pas besoin de suivre les discussions précédant le vote car le secrétaire enverra plusieurs appels au vote sur la liste (et tous les développeurs devraient être inscrits à cette liste). La démocratie ne fonctionne pas si les personnes ne prennent pas part au vote, c'est pourquoi nous encourageons tous les développeurs à voter. Le vote est conduit par messages signés ou chiffrés par GPG.

La liste de toutes les propositions (passées et présentes) est disponible sur la page des informations sur les votes Debian, ainsi que des informations complémentaires sur la procédure à suivre pour effectuer une proposition, la soutenir et voter pour elle.

Il est courant pour les développeurs de s'absenter, que ce soit pour des vacances prévues ou parce qu'ils sont submergés de travail. L'important est que les autres développeurs ont besoin de savoir si vous êtes indisponible pour pouvoir agir en conséquence si un problème se produit sur vos paquets ou autre pendant votre absence.

Habituellement, cela signifie que les autres développeurs peuvent faire des NMU (voir Section 5.11, « Mises à jour indépendantes (NMU) ») sur votre paquet si un gros problème (bogue empêchant l'intégration dans la distribution, mise à jour de sécurité, etc.) se produit pendant que vous êtes en vacances. Parfois, ce n'est pas très important, mais il est de toute façon approprié d'indiquer aux autres que vous n'êtes pas disponible.

Il y a deux choses à faire pour informer les autres développeurs. Premièrement, envoyez un courrier électronique à en commençant le sujet de votre message par « [VAC] »[2] et donnez la période de vos vacances. Vous pouvez également donner quelques instructions pour indiquer comment agir si un problème survenait.

L'autre chose à faire est de vous signaler comme en vacances (« on vacation ») dans la base de données Debian LDAP (l'accès à cette information est réservé aux développeurs). N'oubliez pas de retirer l'indicateur on vacation à votre retour !

Dans l'idéal, vous devriez vous connecter sur les pages de coordination GPG quand vous prévoyez un départ et vérifier si quelqu'un recherche un échange de signatures. Cela est particulièrement important quand des personnes vont à des endroits exotiques où nous n'avons pas encore de développeurs, mais où il y a des personnes intéressées pour poser leur candidature.

Si vous décidez de quitter le projet Debian, veillez procéder comme suit :

  1. abandonnez tous vos paquets comme décrit en Section 5.9.4, « Abandon de paquet » ;

  2. Send an gpg-signed email announcing your retirement to .

  3. Notify the Debian key ring maintainers that you are leaving by opening a ticket in Debian RT by sending a mail to with the words "Debian RT" somewhere in the subject line (case doesn't matter).

  4. Si vous recevez des courriels d’alias d’adresse @debian.org (p. ex. press@debian.org) et ne le désirez plus, ouvrez un ticket « RT » pour les administrateurs du système Debian (« Debian System Administrators »). Écrivez simplement à avec « Debian RT » dans le sujet et en déclarant de quel alias vous voulez être supprimé.

Le processus précédemment décrit devrait absolument être suivi, car trouver les développeurs inactifs et abandonner leurs paquets est une tâche longue et fastidieuse.

Le compte d'un développeur est marqué « emeritus » (honoraire) quand le processus précédent en Section 3.2.5, « Démission » est suivi, et « disabled » (désactivé) sinon. Un développeur ayant démissionné avec un compte « emeritus » peut réactiver son compte de la façon suivante :

  • contacter  ;

  • passer un processus raccourci de nouveau responsable (pour s'assurer qu'il connaît toujours les parties importantes de « philosophie et procédures » et « tâches et compétences ») ;

  • démontrer qu'il possède toujours la clef GPG associée au compte, ou fournir des preuves d'identité sur une nouvelle clef GPG, avec au moins deux signatures d'autres développeurs Debian.

Les développeurs ayant démissionné avec un compte « disabled » doivent repasser le processus complet de nouveau développeur.



[2] Ainsi, le message peut être facilement filtré par les personnes qui ne veulent pas lire ces annonces de vacances.