The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.09.2013 11:10  Проект по обеспечению повторяемости сборки пакетов для Fedora Linux

В ответ на критику о проблематичности формирования из исходных текстов rpm-пакетов, полностью аналогичных пакетам, поставляемым в дистрибутиве, из-за большого влияния условий сборки на итоговый бинарный файл, разработчики из компании Red Hat подготовили инструкцию и набор скриптов для обеспечения повторяемых сборок.

При сборке обычными средствами бинарные файлы отличаются и не совпадают с пакетами из репозитория байт в байт из-за использования разных версий компилятора, линковщика, библиотек, различий во времени сборки, разных настроек сборочного окружения и т.п. Представленный инструментарий позволяет на основе любого src.rpm-пакета с исходным кодом собрать rpm-пакет, на бинарном уровне полностью соответствующий размещённому в репозитории эталону. Таким образом, пользователь может убедиться, что пакет собран именно из опубликованных исходных текстов, без внесения в них каких-либо изменений, т.е. гарантировать отсутствие закладок, внедрённых на этапе сборки. Аналогичный проект по обеспечению повторяемых сборок развивается разработчиками Debian.

  1. Главная ссылка к новости (http://securityblog.redhat.com...)
  2. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
  3. OpenNews: Проблема проверки тождественности исходных текстов и бинарных сборок
  4. OpenNews: Ubuntu развивает собственный формат пакетов для установки сторонних приложений
  5. OpenNews: Планы по усовершенствованию системы управления пакетами в Fedora Linux
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: fedora, build, packet
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:22, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +21 +/
    Вот что значит "прислушиваться к сообществу"! Молодцы!
     
  • 1.2, aborodin (??), 11:48, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]
  • –3 +/
    hasher в Alt Linux уже сто лет как есть, а эти только зачесались.
     
     
  • 2.3, ъ (?), 11:59, 19/09/2013 [^] [ответить]    [к модератору]
  • +8 +/
    По ссылки ты не ходил? Как обычно? Хешер не про это. Имеется ввиду полностью бинарная повторяемость, до байта. Я думаю твой хешер этого не сделает, также как pbuilder в дебиане.

    [сообщение отредактировано модератором]

     
     
  • 3.39, Michael Shigorin (ok), 01:11, 20/09/2013 [^] [ответить]     [к модератору]
  • +/
    Возьмите и почитайте http www altlinux org Hasher http ftp altlinux org pub... весь текст скрыт [показать]
     
     
  • 4.46, solo_oboroten (ok), 11:25, 20/09/2013 [^] [ответить]     [к модератору]  
  • +/
    Если мне не изменяет мой склероз, то в какой-то из дискуссий пробегала информаци... весь текст скрыт [показать]
     
     
  • 5.49, Michael Shigorin (ok), 13:18, 23/09/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    В обсуждавшемся случае это зависит от компилятора, из gcc уже довольно давно убр... весь текст скрыт [показать]
     
     
  • 6.52, solo_oboroten (ok), 02:34, 24/09/2013 [^] [ответить]     [к модератору]  
  • +/
    Значит сейчас проблемы будут только с теми пакетами, где дата зашивается в вых... весь текст скрыт [показать]
     
     
  • 7.53, Andrey Mitrofanov (?), 09:50, 24/09/2013 [^] [ответить]     [к модератору]  
  • +/
    Например, с теми, в которых лежат cpio упаковочки с датами каждого файла ... весь текст скрыт [показать]
     
  • 2.25, XoRe (ok), 18:05, 19/09/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Помнится, hasher отлично собирал php5-memcached-5 3 8 rpm из федоровского php5-m... весь текст скрыт [показать]
     
     
  • 3.26, Andrey Mitrofanov (?), 18:20, 19/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >насколько там не до бинарной совместимости с исходником

    "насколько там не до бинарного совпадения получаемых .rpm" //fixed

    > :)

     
     
  • 4.51, XoRe (ok), 20:05, 23/09/2013 [^] [ответить]    [к модератору]  
  • +/

    > "насколько там не до бинарного совпадения получаемых .rpm" //fixed

    Да, так точнее

     
  • 3.40, Michael Shigorin (ok), 01:12, 20/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Помнится

    Вот это склероз, даже мне завидно стало.

     
     
  • 4.50, XoRe (ok), 20:05, 23/09/2013 [^] [ответить]    [к модератору]  
  • +/
    >> Помнится
    > Вот это склероз, даже мне завидно стало.

    По теме есть что сказать?

     
     
  • 5.55, Michael Shigorin (ok), 01:43, 25/09/2013 [^] [ответить]     [к модератору]  
  • +/
    даже не знаю, что надо было сделать, чтоб такое помнилось Да, но надо бы тог... весь текст скрыт [показать]
     
  • 1.4, Аноним (-), 12:07, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    "различий во времени сборки"
    фаза луны тоже влияет
     
     
  • 2.12, Аноним (-), 14:04, 19/09/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    > фаза луны тоже влияет

    Редхатовский скрипт выставляет ее правильно.

     
  • 1.5, onon (?), 12:14, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Может теперь можно будет повлиять на ментейнеров и заставить, хотябы тот же wine, собирать без ассоциаций к файлам.
     
     
  • 2.9, Аноним (-), 13:33, 19/09/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    На Генту вам сударь надо. Ну либо в своем любимом дистре ручками, если только Вайн не устраивает.
     
     
  • 3.27, Andrey Mitrofanov (?), 18:21, 19/09/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Нет уж Лучше они - к нам Когда, панимашь, будет повторяемая бинарная сборка ... весь текст скрыт [показать]
     
     
  • 4.41, Michael Shigorin (ok), 01:14, 20/09/2013 [^] [ответить]    [к модератору]  
  • +/
    > Когда, панимашь, будет "повторяемая бинарная сборка" в Gentoo, Арче и Фре??! Ась?

    Никогда, т.к. фиксация сборочной среды ещё сложней по постановке задачи.

     
  • 2.14, Аноним (-), 14:06, 19/09/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > Может теперь можно будет повлиять на ментейнеров и заставить, хотябы тот же
    > wine, собирать без ассоциаций к файлам.

    Замечательно. А как вам комментарий связан с новостью?

     
  • 1.6, Михрютка (ok), 13:01, 19/09/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    - а что это у вас шумит такое, словно вентилятор - а это Кен Томпсон в могиле в... весь текст скрыт [показать]
     
     
  • 2.7, Crazy Alex (ok), 13:07, 19/09/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    В какой еще могиле?
     
     
  • 3.8, Михрютка (ok), 13:20, 19/09/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > В какой еще могиле?

    oh shit это я с прямым углом^W^WРитчи перепутал :()

     
  • 2.13, Аноним (-), 14:05, 19/09/2013 [^] [ответить]    [к модератору]  
  • +/
    > но в общем такие фразы про отсутствие закладок все равно свою долю котеночков собирают.

    А шо вам в них таки не нравится?

     
     
  • 3.17, Михрютка (ok), 14:21, 19/09/2013 [^] [ответить]    [к модератору]  
  • +/
    >> но в общем такие фразы про отсутствие закладок все равно свою долю котеночков собирают.
    > А шо вам в них таки не нравится?

    котят жалко

     
  • 2.28, Andrey Mitrofanov (?), 18:33, 19/09/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, исходная посылка, что совпадающая бинарная пересборка _как-то_ доказывает от... весь текст скрыт [показать]
     
  • 1.11, lucentcode (ok), 13:53, 19/09/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    Ободряющая новость Может у меня паранойя, но у меня не раз были сомнения а не ... весь текст скрыт [показать]
     
     
  • 2.18, anon13 (?), 14:53, 19/09/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    А что мешает мэйнтейнеру изменить исходный код своего пакета и добавить закладку? В таком случае собирай его сколько хочешь! :)
     
     
  • 3.19, Анонус (?), 15:04, 19/09/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    > А что мешает мэйнтейнеру изменить исходный код своего пакета и добавить закладку?

    Новость читал? Закладка непозволит бинарному пакету сооотвествовать байт в байт пакету собронному из исходников.

     
     
  • 4.20, Аноним (-), 15:15, 19/09/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    Вам говорят, что закладка то может быть в исходниках.
     
     
  • 5.29, Andrey Mitrofanov (?), 18:35, 19/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вам говорят, что закладка то может быть в исходниках.

    Причём другого пакета!

     
  • 3.21, gaga (ok), 16:31, 19/09/2013 [^] [ответить]    [к модератору]  
  • +/
    ничто не мешает. надо смотреть диффы с апстримом.
     
     
  • 4.30, Andrey Mitrofanov (?), 18:36, 19/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > ничто не мешает. надо смотреть диффы с апстримом.

    После _полного_ аудита исходников з апстрима. Конечно!

     
     
  • 5.36, Михрютка (ok), 20:23, 19/09/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    >> ничто не мешает. надо смотреть диффы с апстримом.
    > После _полного_ аудита исходников з апстрима. Конечно!

    и собирать собственным компилятором. желательно - написанным вручную машинным кодом.

     
     
  • 6.48, arisu (ok), 08:58, 21/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > и собирать собственным компилятором. желательно — написанным вручную машинным кодом.

    не поможет: закладки-то ещё и в железе могут быть!

     
  • 2.37, Crazy Alex (ok), 20:42, 19/09/2013 [^] [ответить]    [к модератору]  
  • +/
    Понимаете, весьма мало кем интересуются парни из спецслужб, а для более легких случаев подпись маинтайнера и его репутация - вполне достаточная защита.
     
  • 2.42, Michael Shigorin (ok), 01:16, 20/09/2013 [^] [ответить]    [к модератору]  
  • +/
    > А теперь у таких недоверчивых людей как я появилась новая игрушка.

    Годков десять как появилась, милай.

    > Fedora, как всегда, рулит!

    В данном случае она дичайше тупит.  Особенно с учётом того факта, что люди, которые в курсе альтовских наработок в этой области -- в шляпе есть уже не первый год.

     
     
  • 3.44, www2 (??), 09:23, 20/09/2013 [^] [ответить]    [к модератору]  
  • +/
    Дык эти люди наверное воспроизвели для себя инструмент и пользуются втихаря. А тут вдруг поделиться стали просить, вот и обнародовали, видимо.
     
  • 1.23, Аноним (-), 17:22, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Новость - не прикольно.
    Вот если бы они налабали скрипт который из бинарников сырцы восстановили....
     
     
  • 2.32, Andrey Mitrofanov (?), 18:38, 19/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Новость - не прикольно.
    > Вот если бы они налабали скрипт который из бинарников сырцы восстановили....

    Бинарно совпадаюшие с исходными!! :->

     
  • 1.33, Xasd (ok), 19:00, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    и так -- вторая половина 2013-года.

    ...сколько лет прошло уж и вот только щаз....

     
     
  • 2.34, Andrey Mitrofanov (?), 19:59, 19/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > ...сколько лет прошло уж и вот только щаз....

    На опеннете наконец-то устышат про '84 Trusting Trust? //Я угадал? Или то был просто бейт:(

     
  • 1.35, Buy (ok), 20:13, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А зачем всё это если закладку можно внести в сам эталонный src.rpm-пакет, непосредственно в исходники ядра просто предложив очередной патч (не зря же Линус "кагбэ в шутку" кивал головой). Этим и будут заниматься серьёзные люди. А от пионеров да, может и будет дополнительная опция защиты.
     
  • 1.38, ip1981 (ok), 22:03, 19/09/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    МЕГА-костыли. А в Дебиане всё это "из коробки"
     
     
  • 2.43, Michael Shigorin (ok), 01:19, 20/09/2013 [^] [ответить]    [к модератору]  
  • +/
    > МЕГА-костыли. А в Дебиане всё это "из коробки"

    Там есть ещё один моментик, до которого и дебиан не дорос, помнтся, и уж тем более федора.

    Опять же см. http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html

    PS: ldv@ живьём порасспрашивать можно будет завтра-послезавтра в Калуге: http://www.altlinux.ru/news/archive/2013/09/item/702/

     
     
  • 3.45, ip1981 (ok), 11:00, 20/09/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >> МЕГА-костыли. А в Дебиане всё это "из коробки"
    > Там есть ещё один моментик, до которого и дебиан не дорос, помнтся,
    > и уж тем более федора.
    > Опять же см. http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html
    > PS: ldv@ живьём порасспрашивать можно будет завтра-послезавтра в Калуге: http://www.altlinux.ru/news/archive/2013/09/item/702/

    Пф... pbuilder. В Нексенте был zbuilder


     
     
  • 4.47, Andrey Mitrofanov (?), 14:04, 20/09/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    >>завтра-послезавтра в Калуге:
    >> altlinux.ru/news/archive/2013/09/item/702/

    Кстати, спасибо! Интересно полистать. //'84 легким движением - в '74:

    """Проблема доверенного компилятора впервые была обозначена в 1974 году в закрытой публикации, а впервые публично сформулирована — десять лет спустя Кеном Томпсоном в его Тьюринговской лекции

    > Пф... pbuilder.

    Судя по ""hasher похож на более ранние [...] sbuild/pbuilder из Debian,[...], но в отличие от них спроектирован так, чтобы не допускать влияния собираемого пакета на хост-систему, а также взаимного влияния собирающихся пакетов."" @ altlinux.org/Hasher ...

    ...одно из двух^Wтрёх:

    либо авторы той страницы не видят разницы между sbuild и pbuilder,

    либо fakeroot+chroot в pbuilder-е не рассматривается, как достаточная защита от "влияния", или [традиционное] "не являются средствами безопасности",

    либо указывается на то, что pbuilder, в частности, проектировался для чего-то другого (=постановка задачи не совпала).

     
     
  • 5.54, Michael Shigorin (ok), 20:16, 24/09/2013 [^] [ответить]    [к модератору]  
  • +/
    > ...одно из двух^Wтрёх:

    http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html по буковкам C, R, U.

    PS: про zbuilder в nexenta и прочие z/OG в IBM не в курсе.

     
     
  • 6.56, Andrey Mitrofanov (?), 11:20, 03/11/2013 [^] [ответить]    [к модератору]  
  • +/
    >> ...одно из двух^Wтрёх:
    > http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html по буковкам C, R,
    > U.

    В сравнении с
    http://www.netfort.gr.jp/~dancer/software/pbuilder.html.en
    http://lists.debian.org/debian-devel/2001/08/msg01895.html

    , понятно, что третий случай - [B]постановка[/B] задачи другая. Академ.сорс с рописью ди-ерсте-колонне-марширт против "у меня тут скрипт. работает, вроде. загружаю в Debian".

    А так это _всё_ наколенные скрипты: каждый работает только в одном дистибутиве и/или в присутствии автора. Например: почему pbuilder/hasher/mock нет в пакетах "конкурирующего" дистрибутива (не Deb/не Alt/не RH-like).

    Re: C/R/U -- При использовании fakeroot три пользователя и в pbuilder есть: реальный C, запускающий pbuilder; [fake]root R ставящий зависимости в chroot-е; и U c uid BUILDUSERID=1234 из pbuilderrc. //От fakeroot-а не всё работает, правда (mount).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor