The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.12.2017 10:28  Инициатива по обеспечению повторяемых сборок Arch Linux

Разработчики Arch Linux рассказали о состоянии проекта по обеспечению повторяемых сборок, которые позволяют убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений.

В настоящее время повторяемые сборки обеспечены для 77% из протестированных 17% пакетов (для сравнения в Debian 9 этот показатель составляет 94.1%). Для pacman подготовлен набор патчей с реализацией режима повторяемых сборок, которые намечены для включения в состав одного из следующих стабильных релизов. Началась работа по созданию инфраструктуры для сопровождения повторяемых сборок.

Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), исключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.

  1. Главная ссылка к новости (http://vdwaa.nl/arch/linux/rep...)
  2. OpenNews: Для 94% пакетов Debian обеспечена возможность повторяемой сборки
  3. OpenNews: В NetBSD обеспечена поддержка повторяемых сборок
  4. OpenNews: Корпорации профинансируют обеспечение повторяемых сборок пакетов в дистрибутивах
  5. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  6. OpenNews: Проект по обеспечению повторяемости сборки пакетов для Fedora Linux
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: archlinux, reproducible, build
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Michael Shigorin, 10:59, 02/12/2017 [ответить] [смотреть все]
  • –17 +/
    уметь собирать в чруте, для самого-самого начала ... весь текст скрыт [показать]
     
     
  • 2.2, Vasya, 12:02, 02/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    вот так https wiki archlinux org index php DeveloperWiki Building_in_a_Clean_C... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, pavlinux, 22:03, 02/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Угу, только ещё надо повторить повторяемость chroot
     
  • 2.3, Аноним, 12:48, 02/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    А чем сборка в chroot принципиально отличается от сборки в основной системе, кро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, Andrey Mitrofanov, 13:21, 02/12/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Первая ссылка по https duckduckgo com q why build in chroot неожиданно - http... весь текст скрыт [показать]
     
     
  • 4.10, Аноним, 15:01, 02/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Не понимаю что неожиданного Я собираю софт в chroot, ничего отличающегося от ос... весь текст скрыт [показать]
     
     
  • 5.14, Andrey Mitrofanov, 15:33, 02/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Это было заметно и в первый раз http www opennet ru openforum vsluhforumID3 11... весь текст скрыт [показать]
     
     
  • 6.18, Аноним, 16:09, 02/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    И что Какое-то случайное сообщение на форуме где дочерта анонимов Похоже на то... весь текст скрыт [показать]
     
  • 5.31, Петр А, 11:40, 03/12/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    И не надо Это не для тебя Ты же не жаришь шаурму И это нормально Это просто ... весь текст скрыт [показать]
     
  • 5.43, freehck, 16:16, 04/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Мда Со скриптами configure вы не сталкивались Когда вам в зависимости от най... весь текст скрыт [показать]
     
  • 3.5, Andrey Mitrofanov, 13:28, 02/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Кстати, эти люди https reproducible-builds org также отключают бильдерам сеть... весь текст скрыт [показать]
     
     
  • 4.11, Аноним, 15:03, 02/12/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    И Это так сложно сделать на любом NIX 2 5 конфинга исправить, тоже мне сложно... весь текст скрыт [показать]
     
     
  • 5.45, Michael Shigorin jolla, 17:03, 04/12/2017 [^] [ответить] [смотреть все]  
  • +/
    сложно понимать, _что_ должно быть в скрипте, особенно заранее -- что и проиллюс... весь текст скрыт [показать]
     
  • 4.12, Аноним, 15:06, 02/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Половина документа там, кстати, бла-бла-бла Болтовня не по делу ... весь текст скрыт [показать]
     
     
  • 5.15, Andrey Mitrofanov, 15:37, 02/12/2017 [^] [ответить] [смотреть все]  
  • +/
    А Не понимаю -- ты забыл написать в начале http www opennet ru openforum v... весь текст скрыт [показать]
     
     
  • 6.19, Аноним, 16:11, 02/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А по делу написать ничего не можете Так я и знал, ещё один любитель поболтать ... весь текст скрыт [показать]
     
  • 2.42, vz, 16:15, 04/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    соберут во flatpack, appimage, snap и GNU/Linux превратится в мусор
     
  • 1.6, Домохозяйка Анонима, 13:41, 02/12/2017 [ответить] [смотреть все]  
  • –6 +/
    "Those who do not understand NixOS are condemned to reinvent it, poorly."
     
     
  • 2.9, Andrey Mitrofanov, 14:00, 02/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    У них 124 nix гы 124 тоже не 100 reproducible Так что, в общем-то, мимо ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, edolstra, 15:49, 02/12/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Nix делает всё необходимое со стороны дистрибутива Остальное - косяки апстрима,... весь текст скрыт [показать]
     
     
  • 4.17, Andrey Mitrofanov, 16:02, 02/12/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    то же самое всё делают и кууучи других дистрибутивом что так выгодно отлича... весь текст скрыт [показать]
     
     
  • 5.20, Мамин Сибиряк, 16:56, 02/12/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    В других дистрибутивах сборка в воспроизводимом окружении - внештатный режим, пр... весь текст скрыт [показать]
     
     
  • 6.21, Домохозяйка Анонима, 17:13, 02/12/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Главный плюс забыл Кроме всего прочего, подход NixOS даёт воспроизводимую декла... весь текст скрыт [показать]
     
  • 6.48, Michael Shigorin, 23:57, 06/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Н-да, вот уж появления никсоламеров я как-то не ожидал увидеть Любезнейший, ну ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.22, pavlinux, 22:00, 02/12/2017 [ответить] [смотреть все]  
  • +5 +/
    О, я-я-я, хаки из детства. Замени jnz на nop и обнови mtime/ctime/atime!!!  Ломали мы таких неповторяемых.    
     
  • 1.30, ыы, 09:25, 03/12/2017 [ответить] [смотреть все]  
  • –1 +/
    >Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов.

    Надеюсь это делается произвольным компилятором включая кросскомпиляторы?
    Иначе   - все это мертвому припарки, потому что в компиляторе может быть закладка.

     
     
  • 2.32, пох, 14:05, 03/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а они Ритчи не читали закладка в данном случае может быть прямо в cmp, незачем... весь текст скрыт [показать] [показать ветку]
     
  • 1.37, 0x0, 22:22, 03/12/2017 [ответить] [смотреть все]  
  • +/
    Такую инициативу можно разве что сравнить с полётом в соседний магазин за хлебом с пересадкой где-то во Франкфурте :))

    Достоверность исполняшек ‒ дело нужное и полезное, но при локальной пересборке каждого требуемого .deb-ИЛа, в случае неповторяемости хоть одного из них, как потом ты прописяешь, это у тебя закладка, руткит или троян или на дистро-серваке? :)))

     
  • 1.38, Адекват, 07:13, 04/12/2017 [ответить] [смотреть все]  
  • –2 +/
    Перевожу на юзерский:
    "В скором времени пользователи ArchLinux будут ВЫНУЖДЕННЫ сами собирать свои пакеты, и разруливать все зависимости."
     
     
  • 2.39, Аноним, 09:40, 04/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    >и разруливать все зависимости

    <подозрительно> А ты точно адекват?

     
  • 2.41, 0x0, 15:23, 04/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Лично я понял так, что пакеты будут собираться локально только для того, чтоб уд... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, Аноним, 11:29, 04/12/2017 [ответить] [смотреть все]  
  • –2 +/
    Если дистр source based, то лучше принципиально все пакеты собирать самому и не ... весь текст скрыт [показать]
     
     
  • 2.44, vz, 16:19, 04/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    И что, в исходнике нет закладки Кто проверял Майнтейнер проверен на детектор... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor