The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Доступен rebuilderd для независимой верификации Arch Linux п..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от opennews (??), 22-Апр-20, 09:18 
Представлен инструментарий rebuilderd, позволяющий организовать независимую проверку бинарных пакетов дистрибутива через развёртывание непрерывно работающего сборочного процесса, сверяющего загружаемые пакеты с пакетами, получаемыми в результате пересборки на локальной системе...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52784

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –5 +/
Сообщение от Аноним (1), 22-Апр-20, 09:18 
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  +1 +/
Сообщение от Аноним (2), 22-Апр-20, 09:25 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +5 +/
Сообщение от Аноним (1), 22-Апр-20, 09:34 
Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +/
Сообщение от A.Stahl (ok), 22-Апр-20, 09:46 
Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  +1 +/
Сообщение от Аноним (9), 22-Апр-20, 09:53 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

11. Скрыто модератором  –1 +/
Сообщение от anonymous (??), 22-Апр-20, 10:07 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. Скрыто модератором  +3 +/
Сообщение от КО (?), 22-Апр-20, 10:26 
Ответить | Правка | Наверх | Cообщить модератору

3. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +9 +/
Сообщение от Аноним (3), 22-Апр-20, 09:33 
> слепо доверять чужой сборочной инфраструктуре

Желтизна. Да, сборочной инфраструктуре крупнейших дистрибутивов доверяют, но не слепо: едва там появится намеренно добавленный зловред, репутация всего дистрибутива стремительно упадет.

К примеру, "инфраструктуре" палемуна доверять нельзя, поскольку КГ/АМ-автор палемуна настаивает на том, что пользоваться надо именно его бинарниками, а в них-то и была в итоге обнаружена вирусня.

Ответить | Правка | Наверх | Cообщить модератору

6. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Урри (?), 22-Апр-20, 09:41 
А можно детали про вирусню?
Ответить | Правка | Наверх | Cообщить модератору

7. "Доступен rebuilderd для независимой верификации Arch Linux п..."  –2 +/
Сообщение от anonymous (??), 22-Апр-20, 09:45 
https://habr.com/ru/news/t/459962/
Ответить | Правка | Наверх | Cообщить модератору

19. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +3 +/
Сообщение от Аноним (19), 22-Апр-20, 10:31 
https://www.opennet.ru/opennews/art.shtml?num=51071
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

12. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (12), 22-Апр-20, 10:11 
>но не слепо: едва там появится намеренно добавленный зловред, репутация всего дистрибутива стремительно упадет.

это значит слепо
kernal.org взламывали. Перестали ли после это пользоваться linux? Упала ли его репутация?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +6 +/
Сообщение от Аноним (3), 22-Апр-20, 10:15 
> kernal.org взламывали

Не припоминаю такого, чтобы там распространялось ядро в бинарном, собранном виде.

Ответить | Правка | Наверх | Cообщить модератору

32. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +1 +/
Сообщение от Аноним (32), 22-Апр-20, 15:05 
Закладка прямо в исходнике не намного лучше.
Ответить | Правка | Наверх | Cообщить модератору

21. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (21), 22-Апр-20, 10:44 
> К примеру, "инфраструктуре" палемуна доверять нельзя, поскольку КГ/АМ-автор палемуна
> настаивает на том, что пользоваться надо именно его бинарниками,

Нет, причина этого иная, он настаивает на том, чтобы использовали именно бинарники, если вы хотите называть это palemoon, никто вас не заставляет собирать это из сорцев и называть это rosymoon, redsun или как-то ещё, например.
>а в  них-то и была в итоге обнаружена вирусня.

Одно в данном случае не зависит от другого.
На сорсфорже как-то лежали два бинаря известной программки, с линуксовым всё было норм, а виндовый содержал трояна (для винды вариантов тогда не было скачать её, кроме как оттуда.) . Так что это не показатель, а показателем как раз является недостаточная проведённая работа над проверкой того, что за бинари раздаёт твоя система распрастранения, в случае с бледной луной там полтора землекопа всё делают, и даже вроже сервер у них на виндах хостится, и да, это не единственная странная вещь, которую делает автор, однако это является прямой причиной означенной проблемы. А если предъявлять автору за странности, то в мире программистов много кого можно притянуть за такое, взять того же автора говядины, тоже интересная личность со странным поведением.


Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

28. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от nebularia (ok), 22-Апр-20, 12:49 
Это ещё если вспомнить про взлом FossHub, который многие использовали (и используют, ибо с кем не бывает) для распространения официальных бинаорей.
Ответить | Правка | Наверх | Cообщить модератору

10. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (10), 22-Апр-20, 09:58 
>бинарных пакетов

Не нужно, install gentoo.

Ответить | Правка | Наверх | Cообщить модератору

14. "Надо и для Gentoo такое."  +/
Сообщение от Аноним (14), 22-Апр-20, 10:23 
https://www.linux.org.ru/forum/admin/15194240?cid=15199687
Ответить | Правка | Наверх | Cообщить модератору

17. "Надо и для Gentoo такое."  +/
Сообщение от Аноним (10), 22-Апр-20, 10:27 
>бинарнокуколдам ниприятна
Ответить | Правка | Наверх | Cообщить модератору

16. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +2 +/
Сообщение от Аноним (16), 22-Апр-20, 10:26 
Я правильно понимаю, что для проверки загруженных бинарей, они предагают поставить у себя сборочницу, которая будет собирать с сорцев эти же бинари и сравнивать их?
Потому что если так, то находясь на ролинговом дистре, вам придётся постоянно что-то собирать с сорцев, тогда смысл держать Арч? Есть же соурс-базед дистры, и с другой стороны, есть механизмы проверки пакетов по подписям, например у бинарных релихных дистров, где также есть варианты проверить и через сборочницу, правда там нужно абсолютно те же условия соблюдать, но всё же...
В итоге непонятно для чего эта штука именно в Арче? Если всё так, как я понял, то наоборот логичнее было бы сделать более тщательной проверку пакетов в AUR и чтобы майнтейнеры аура (да, я знаю что это "куча разных обычных юзеров") имели свои подписи для пакетов и авторитет на уровне разработчиков системы.

Ниже ожидаются посты в стиле:
- Что только не делают, чтобы генту не ставить, где этот велосипед нинужин
- Что только не делают, чтобы не ставить дебиан, где всё уже есть, и проверка пакетов через сборку и если хочешь можно с сорцев собрать
- Ты ничерта не разбираешься, всё правильно делают, Арч прекрасен, а будет ещё лучше, а остальные плетутся в хвосте, неосиляторы и ретрограды.

Ответить | Правка | Наверх | Cообщить модератору

18. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (16), 22-Апр-20, 10:30 
*Потому что если так, то находясь на ролинговом дистре, вам придётся постоянно что-то собирать с сорцев, ЧТОБЫ ПРОВЕРИТЬ схожесть пакетов, тогда смысл держать Арч?

Ответить | Правка | Наверх | Cообщить модератору

20. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +1 +/
Сообщение от Аноним (14), 22-Апр-20, 10:38 
> вам придётся постоянно что-то собирать с сорцев, тогда смысл держать Арч?

Заголовок новости прочти:

"для независимой верификации Arch Linux при помощи повторяемых сборок"

Наличие системы повторяемые сборок одно из необходимых требований безопасности.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

23. "Доступен rebuilderd для независимой верификации Arch Linux п..."  –1 +/
Сообщение от Аноним (23), 22-Апр-20, 10:52 
Да если они собрались проверять повторяемость сборок то пусть саму эту бинарную сборку и поставляют зачем тогда Арч? А если вы сорцы то не надо заниматься ерудной.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

25. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +1 +/
Сообщение от Vanych (?), 22-Апр-20, 12:03 
Не у всех стоит задача перекомпилять весь дистрибутив, обычно вызывает подозрения один пакет, особенно странным обращением в сеть. Сейчас это стало характерно для IoT. И даже просто убедиться в рабочих приложениях для "очистки совести" тоже не мешает. А в Arch этим озаботились, когда-то это было нормой, но постепенно дистриб-разработчики оторвались от народа.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

50. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (50), 22-Апр-20, 20:33 
> Не у всех стоит задача перекомпилять весь дистрибутив, обычно вызывает подозрения один
> пакет, особенно странным обращением в сеть. Сейчас это стало характерно для
> IoT. И даже просто убедиться в рабочих приложениях для "очистки совести"
> тоже не мешает. А в Arch этим озаботились, когда-то это было
> нормой, но постепенно дистриб-разработчики оторвались от народа.

В теории это понятно, однако, первое - соблюсти прям такую же среду нужно как и у майнтейнеров, как собирали в ауре, ктулху его знает, тут в самом бюрократизированном дебиане повторимость не 100%
второе - с учётом текучести пакетов в арче, кто будет постоянно заниматься проверкой и вынесением этих решений, а главное зачем такая растрата на такой короткий срок? Проще уж с сорцев собирать. Ну и потом, если уж вас прям так смущает этот один пакет, неужели просто так, чтобы перебдеть нельзя его самому собрать? Нужно для этого огород городить? Нет, это именно, прежде всего, для массовой проверки забава, а вот только зачем (*тут должна быть картинка с троллейбусом из хлеба*) ? Ну, если просто так, чтобы было, ну тогда ОК, чем бы дитя не тешилось, лишь бы генту не собирало.

Ответить | Правка | Наверх | Cообщить модератору

27. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от TormoZilla (?), 22-Апр-20, 12:40 
Что только не делают, чтобы генту не ставить, где этот велосипед нинужин
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

37. "Доступен rebuilderd для независимой верификации Arch Linux п..."  –1 +/
Сообщение от Аноним (23), 22-Апр-20, 15:47 
Генка просто не модный для последних бумеров.
Ответить | Правка | Наверх | Cообщить модератору

47. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (47), 22-Апр-20, 19:48 
> они предагают поставить у себя сборочницу

Не у себя, а у волонтёров и безопасников. Конечному пользователю предлагается доверять пересечению множества независимых показаний. Принцип "доверяй, но  проверяй" в действии. Кроме того, атакующему теперь придётся компромитировать сборочную инфраструктуру не только проекта, но и его доверенных лиц.

Короче,
> Ты ничерта не разбираешься, всё правильно делают, Арч прекрасен, а будет ещё лучше

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

22. "Доступен rebuilderd для независимой верификации Arch Linux п..."  –1 +/
Сообщение от Аноним (23), 22-Апр-20, 10:50 
Всегда там были вредоносы https://www.opennet.ru/opennews/art.shtml?num=48948 и никуда они не денутся хоть по подписи их проверяй хоть по айпи.
Ответить | Правка | Наверх | Cообщить модератору

29. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Sluggard (ok), 22-Апр-20, 13:33 
И какое отношение к официальным (core, extra и community) арчерепам имеют сторонние репозитории пользователей? Насколько я понимаю, даже в community пакеты из AUR попадают только после проверки и одобрения.
Ответить | Правка | Наверх | Cообщить модератору

31. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +2 +/
Сообщение от Аноним84701 (ok), 22-Апр-20, 13:49 
> И какое отношение к официальным (core, extra и community) арчерепам имеют сторонние
> репозитории пользователей? Насколько я понимаю, даже в community пакеты из AUR попадают только после проверки и одобрения.

Ну-у-у, когда нужно похвастатьcя количеством имеющегося софта (или скорее - наличием экзотической версии в не менее экзотической сборке) то почему-то Арчеводы предпочитают кивать на помой^W AUR, а не на core/extra/community :)

Ответить | Правка | Наверх | Cообщить модератору

33. "Доступен rebuilderd для независимой верификации Arch Linux п..."  –1 +/
Сообщение от Sluggard (ok), 22-Апр-20, 15:20 
И какое отношение к официальному Арчу имеют случайные люди, со склонностью к странноватой писькомерке? :)
Ответить | Правка | Наверх | Cообщить модератору

36. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +1 +/
Сообщение от Аноним (23), 22-Апр-20, 15:46 
Такое же как npm к node.js. Нода в целом может работать без npm, но её так никто не использует.
Ответить | Правка | Наверх | Cообщить модератору

51. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +3 +/
Сообщение от Аноним (50), 22-Апр-20, 20:37 
> И какое отношение к официальному Арчу имеют случайные люди, со склонностью к
> странноватой писькомерке? :)

В дикой природе не встечалось ни одного арчевода, который юзает голый коре-систем, все хвалятся набитым доверху пакетами (которые не совсем готовые пакеты, ну да ладно), как сокровищница, АУРом, это не то что эти ваши ppa - вещает каждый арчевод. А почему они так делают и такое говорят, до поди их разбери, дикари-с?!

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

38. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +2 +/
Сообщение от axredneck (?), 22-Апр-20, 16:59 
В случае с AUR хотя бы можно проверить, что ставишь.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

39. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от GenuZ (?), 22-Апр-20, 17:57 
Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и тотчас его отключать, чтобы он системные либы до самосборок васяновских не обновил случайно...
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

40. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +1 +/
Сообщение от Аноним84701 (ok), 22-Апр-20, 18:21 
> Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и тотчас его отключать, чтобы он системные либы до самосборок васяновских не обновил случайно...

Интересные фантазии. А чем одна помой^W репа-открытая-на-загрузку-для-всех-и-каждого, лучше другой? o_O
Ну и да: там, где у меня убунта, мне хватает вполне штатной бубунтовской репы.


Ответить | Правка | Наверх | Cообщить модератору

42. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от nebularia (ok), 22-Апр-20, 18:33 
Во-первых - не для всех и каждого.

Во-вторых - большая часть PKGBUILD будет несколько десятков строк всего. Посмотрел прежде чем ставить, проверил что исходники с официального источника забираются и ставишь.

В своём классе, наверное, лучшее решение. Ты ставишь один пакет, а не целый ppa/оверлей, можешь всё проверить, подправить и/или форкнуть.

Ответить | Правка | Наверх | Cообщить модератору

43. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +1 +/
Сообщение от Аноним84701 (ok), 22-Апр-20, 18:58 
> Во-первых - не для всех и каждого.
> Во-вторых - большая часть PKGBUILD будет несколько десятков строк всего. Посмотрел прежде чем ставить, проверил что исходники с официального источника забираются и ставишь.

И патчи проверить не забыть - а так да, делов-то, искать официальный источник (совсем-совсем не смахивает на виндовс-вей "качаем только со странички автора"), угу.
Вообще-то, основной смысл "реп" и "мейнтейнеров" - забирать на себя рутину с проверкой автора, обновлений (ну и накладывания патчей).

> В своём классе, наверное, лучшее решение. Ты ставишь один пакет, а не
> целый ppa/оверлей, можешь всё проверить, подправить и/или форкнуть.

Если слаще морковки не едал (и не видел генту или порты фри) - все может быть.


Ответить | Правка | Наверх | Cообщить модератору

48. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (47), 22-Апр-20, 20:04 
Обычно в AUR программы собираются из сырцов, а патчи либо замержены в мастер апстрима, либо находятся на его рассмотрении в виде пулл-реквестов. Всё это ощутимо снижает риск подстановки вредоносного кода.
Если нет серьезных проблем со сборкой или лицензией программы, и есть желающий сопровождать пакет среди доверенных пользователей (Trusted Users), то пакет перемещается из AUR в community.
Ответить | Правка | Наверх | Cообщить модератору

53. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от nebularia (ok), 22-Апр-20, 21:06 
> И патчи проверить не забыть - а так да, делов-то, искать официальный
> источник (совсем-совсем не смахивает на виндовс-вей "качаем только со странички автора"),
> угу.
> Вообще-то, основной смысл "реп" и "мейнтейнеров" - забирать на себя рутину с
> проверкой автора, обновлений (ну и накладывания патчей).

Так разве сейчас про официальные репозитории речь? Речь про AUR, который поддерживается сообществом. Уже не всеми подряд, но ещё и не мейнтейнерами. Контент оттуда проверять НАДО. И в арче это можно сделать удобнее всего.

>> В своём классе, наверное, лучшее решение. Ты ставишь один пакет, а не
>> целый ppa/оверлей, можешь всё проверить, подправить и/или форкнуть.
> Если слаще морковки не едал (и не видел генту или порты фри)
> - все может быть.

Фрю не пробовал, генту юзал. И если говорить о пакетах от сообщества, то тут у нас есть оверлеи. И ты либо фигачишь к себе весь оверлей, либо к себе в локальный утаскиваешь один пакет. В первом случае ты добавляешь к себе все пакеты оттуда, а не только нужный. В принципе не беда, можно замаскировать, и тем не менее. Во втором случае ты теряешь апдейты.

> И патчи проверить не забыть - а так да, делов-то, искать официальный

Актуально и с гентой, да.

В случае с арчем ты доверяешь ровно одному пакету (ну, может с зависимостями). Больше того, даже одной версии. И при установке pikaur покажет тебе файлы и можно будет их проверить. При апдейте вообще покажет только дифф.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

54. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от nebularia (ok), 22-Апр-20, 21:10 
> Речь про AUR, который поддерживается сообществом. Уже не всеми подряд, но ещё и не мейнтейнерами

Тут немного перепутал, всё-таки в аур можно без аппрува от Trusted User. Что, в целом, только подтверждает необходимость проверки.

Ответить | Правка | Наверх | Cообщить модератору

55. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним84701 (ok), 22-Апр-20, 21:25 
>> И патчи проверить не забыть - а так да, делов-то, искать официальный
>> источник (совсем-совсем не смахивает на виндовс-вей "качаем только со странички автора"),
>> угу.
>> Вообще-то, основной смысл "реп" и "мейнтейнеров" - забирать на себя рутину с
>> проверкой автора, обновлений (ну и накладывания патчей).
> Так разве сейчас про официальные репозитории речь? Речь про AUR, который поддерживается
> сообществом. Уже не всеми подряд, но ещё и не мейнтейнерами.

Хм, вообще-то про официальные - шпилька была как раз в сторону любителей сравнивать AUR с репами дебиана или портами фри или (подставить maintained репу).
С кол. софта в "официальной" (т.е. только с оф. мейнтейнерами) репе у арча, емнип, "не очень".

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

52. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (50), 22-Апр-20, 20:43 
> Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и
> тотчас его отключать, чтобы он системные либы до самосборок васяновских не
> обновил случайно...

Ну, это какой-то тугой бубунтоед, который приоритеты пакетов не осилил, ppa ничего не ломают наглухо, всегда можно пуржануть весь ppa с полным откатом, если опустить спорное решение с отдельными ppa, то качество проверки пакетов там вызывает больше доверия, чем к ауровским, они все с цифровой подписью. Другое дело что это добро всё надо отрубать по-хорошему, когда с релиза на релиз перекатываешься, чтобы сюрпризов не получить, поэтому те, кто не хотят этой чихарды пользуются Дебианом, в котором основная масса пакетов именно что из официальных реп, а не как в бубунте - куцый майн, а остальное кто как захочет.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

34. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Michael Shigorinemail (ok), 22-Апр-20, 15:36 
> сверяющего загружаемые пакеты с пакетами,
> получаемыми в результате пересборки на локальной системе

Эээ... уважаемые арчеводы, подтвердите или опровергните -- там что, принято загружать *бинарники*?

> автоматически запускает пересборку новых пакетов
> в эталонном окружении, состояние которого
> синхронизировано с настройками основного сборочного
> окружения Arch Linux

Они там в каком веке вообще живут по части сборочных систем?  Уже даже федора с ручника снялась.

PS: http://altlinux.org/hasher -- с 2003 года; http://altlinux.org/reproducible -- как только возникло какое-то интересное обсуждение.

Ответить | Правка | Наверх | Cообщить модератору

56. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от anonymous (??), 23-Апр-20, 00:04 
> Эээ... уважаемые арчеводы, подтвердите или опровергните -- там что, принято загружать *бинарники*?

Да. Это ж не Гента.

Ответить | Правка | Наверх | Cообщить модератору

58. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (58), 23-Апр-20, 08:49 
>> сверяющего загружаемые пакеты с пакетами,
>> получаемыми в результате пересборки на локальной системе
> Эээ... уважаемые арчеводы, подтвердите или опровергните -- там что, принято загружать *бинарники*?

В том-то и дело, Михаил, что реально бинарные это коре-систем сотоварищи, а это преступно малое количество пакетов. это примерно как main убунты.

>> автоматически запускает пересборку новых пакетов
>> в эталонном окружении, состояние которого
>> синхронизировано с настройками основного сборочного
>> окружения Arch Linux

Прикол в том, что в АУРе  не всамделишние бинарники, которые не бинарники, пакеты "догатавливаются" на системе юзера при установке, и тут, следите за руками...
дети, внимание, вопрос: если пакеты собираются у юзера на системе, не в эталонной системе, а как ктулху на душу положит, то с чем будет сравниваться пакет из эталонного окружения, собранный для проверки?!
Вопрос риторический, это для проверки пакетов из официальных реп, а не из АУРа, иначе это *альтернативное решение*
> Они там в каком веке вообще живут по части сборочных систем?  
> Уже даже федора с ручника снялась.

Ох, не давите на больное, там ещё не везде цифровые подписи освоили, хотя щас набигут арчеводы и начнут голосить АУР это не арч, но как только спрашиваешь про то что пакетов мало, все как один ссылаются на АУР, который де такой секурный и мегаудобный.

> PS: http://altlinux.org/hasher -- с 2003 года; http://altlinux.org/reproducible -- как
> только возникло какое-то интересное обсуждение.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

62. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (62), 24-Апр-20, 13:56 
> дети

Те, кто беспричинно задирают нос и до сих пор не научились себя вести в обществе взрослых людей.

> внимание, вопрос: если пакеты собираются у юзера на системе, не в эталонной системе

Пакеты из AUR'а могут собираться в чистом chroot'e, в том числе штатным инструментом на базе systemd-nspawn (extra-x86_64-build и Ко). Можно даже доставить "эталлоный" срез системы в "песочницу", путем манипуляции с локальным /etc/pacman.d/mirrorlist, а-ля 'Server = https://archive.archlinux.org/repos/2020/04/24/$repo/os/$arch'. Решение не идеальное, но доступное из коробки и не единственное возможное в будущем.
Чуть больше проблема с тем, то что источник собираемого кода может перестать существовать или даже, в некоторых редких случаях, может быть подменен. Но она не фундаментальна и преодолима при желании.

> ссылаются на АУР, который де такой секурный и мегаудобный

Всего лишь хороший компромисс между доступностью для релизёра и удобством+безопасностью пользователя. Благодаря чему, это самый обширный сборник ПО из существующих в природе, причем, достаточно удобный для конечного пользователя и прозрачный для обнаружения проблем с безопасностью. К тому же, для немалого числа PKGBUILD'ов на AUR проблему доверия решает тот факт, что они сопровождаются теми же Trusted Users, что и репозитории основной системы.

Ответить | Правка | Наверх | Cообщить модератору

35. "Доступен rebuilderd для независимой верификации Arch Linux п..."  –1 +/
Сообщение от Аноним (23), 22-Апр-20, 15:45 
Мы упустили одну маленькую деталь оно написано на Rust.
Ответить | Правка | Наверх | Cообщить модератору

57. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от коржик (?), 23-Апр-20, 06:49 
🤦‍♂️
Ответить | Правка | Наверх | Cообщить модератору

41. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (-), 22-Апр-20, 18:23 
>Инструментарий написан на языке Rust и распространяется под лицензией GPLv3.

Фууф наконец-то растаманы одумались. Здравствуй копилефт на Расте!

Ответить | Правка | Наверх | Cообщить модератору

44. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (44), 22-Апр-20, 19:05 
То есть раньше для линукса был нужен безграничный канал, чтобы скачивать все эти сотни пакетов, а теперь ещё и десятки гигов оперативы, терабайт диска и десяток ядер, чтобы всё это уже скачанное разрешить установить, после того как его же соберёшь локально?
Ответить | Правка | Наверх | Cообщить модератору

59. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (59), 23-Апр-20, 08:56 
> То есть раньше для линукса был нужен безграничный канал, чтобы скачивать все
> эти сотни пакетов, а теперь ещё и десятки гигов оперативы, терабайт
> диска и десяток ядер, чтобы всё это уже скачанное разрешить установить,
> после того как его же соберёшь локально?

Не для линукса, а для ролинг дистров, особо арча, арч без сети вообще смысла особо не имеет, раньше в седую давность, арчеводы ставили себе минималистичную систему и лёгкие оконные менеджеры, они понятное дело не много весят, однако обновы постоянно текут потоком, жор трафика, не остановИм)  Некоторые шаманы даже бегали с дискетами, болванками и прочими носителями, чтобы локальную машину обновить, туда-сюда, загрузил список пакетов на носитель, скачал пачку обновлений у друга с толстым интернетом и прибежал домой с него обновляться, вообще шикардос, если друг виндузятник, попутно можно его обоср@ть, что он тупой вантузоед, а арч крутой и хакерский.

Ответить | Правка | Наверх | Cообщить модератору

61. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (61), 23-Апр-20, 09:39 
> То есть раньше для линукса был нужен безграничный канал, чтобы скачивать все
> эти сотни пакетов, а теперь ещё и десятки гигов оперативы, терабайт
> диска и десяток ядер, чтобы всё это уже скачанное разрешить установить,
> после того как его же соберёшь локально?

Помнится, ради спортивного интереса, собирал LibreOffice на 2 гигах оперативы. С lto. А ты терпи и качай обновления на Windoze.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

45. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (44), 22-Апр-20, 19:08 
>> При пересборке учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки).

То есть, если закладку компилятором внесли в эталонной репке, то и вам установят тот же самый дырявый компилер и он локально соберёт точно такой же пакет с закладкой. Круто!

Ответить | Правка | Наверх | Cообщить модератору

49. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (47), 22-Апр-20, 20:16 
Очевидно, сборочный инструмент проверят на воспроизводимость сборок в первую очередь.
Ответить | Правка | Наверх | Cообщить модератору

60. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (60), 23-Апр-20, 08:59 
> Очевидно, сборочный инструмент проверят на воспроизводимость сборок в первую очередь.

И? А кто проверит проверяющих?
К тому же, вот сборочный инструмент у кого-то там собрал пакет, а у вас он собран в другой среде, и не совпадают, чо делоць?! Бежать кричать, караул, палёные пакеты подсовывают?!


Ответить | Правка | Наверх | Cообщить модератору

63. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Аноним (62), 24-Апр-20, 14:12 
> А кто проверит проверяющих?

Посмотрите как проблему с доверием решают в распределенных системах (например, блокчейн).
Если *несколько* *независимых* проверяющих дают *одинаковые* показания, можно судить, что они говорят правду с *большей вероятностью*, чем когда показания даёт только один из них - сопроводитель пакета.
..Стоп. А что если наш мир существует только в нашем воображении, и нами давно манипулирует невидимый Архитектор? Что если моя шапочка из фольги тоже воображаемая и потому не спасает? Караул! Как дальше жить?!..

Ответить | Правка | Наверх | Cообщить модератору

46. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от microsoft (?), 22-Апр-20, 19:22 
Главная закладка хардварь.
Ответить | Правка | Наверх | Cообщить модератору

64. "Доступен rebuilderd для независимой верификации Arch Linux п..."  +/
Сообщение от Gogi (??), 24-Апр-20, 19:19 
*побежал выкидывать тостер*
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру