The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.09.2013 11:10  Проект по обеспечению повторяемости сборки пакетов для Fedora Linux

В ответ на критику о проблематичности формирования из исходных текстов rpm-пакетов, полностью аналогичных пакетам, поставляемым в дистрибутиве, из-за большого влияния условий сборки на итоговый бинарный файл, разработчики из компании Red Hat подготовили инструкцию и набор скриптов для обеспечения повторяемых сборок.

При сборке обычными средствами бинарные файлы отличаются и не совпадают с пакетами из репозитория байт в байт из-за использования разных версий компилятора, линковщика, библиотек, различий во времени сборки, разных настроек сборочного окружения и т.п. Представленный инструментарий позволяет на основе любого src.rpm-пакета с исходным кодом собрать rpm-пакет, на бинарном уровне полностью соответствующий размещённому в репозитории эталону. Таким образом, пользователь может убедиться, что пакет собран именно из опубликованных исходных текстов, без внесения в них каких-либо изменений, т.е. гарантировать отсутствие закладок, внедрённых на этапе сборки. Аналогичный проект по обеспечению повторяемых сборок развивается разработчиками Debian.

  1. Главная ссылка к новости (http://securityblog.redhat.com...)
  2. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
  3. OpenNews: Проблема проверки тождественности исходных текстов и бинарных сборок
  4. OpenNews: Ubuntu развивает собственный формат пакетов для установки сторонних приложений
  5. OpenNews: Планы по усовершенствованию системы управления пакетами в Fedora Linux
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: fedora, build, packet
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:22, 19/09/2013 [ответить] [смотреть все]
  • +21 +/
    Вот что значит "прислушиваться к сообществу"! Молодцы!
     
  • 1.2, aborodin, 11:48, 19/09/2013 [ответить] [смотреть все]
  • –3 +/
    hasher в Alt Linux уже сто лет как есть, а эти только зачесались.
     
     
  • 2.3, ъ, 11:59, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +8 +/
    По ссылки ты не ходил? Как обычно? Хешер не про это. Имеется ввиду полностью бинарная повторяемость, до байта. Я думаю твой хешер этого не сделает, также как pbuilder в дебиане.

    [сообщение отредактировано модератором]

     
     
  • 3.39, Michael Shigorin, 01:11, 20/09/2013 [^] [ответить] [смотреть все]
  • +/
    Возьмите и почитайте http www altlinux org Hasher http ftp altlinux org pub... весь текст скрыт [показать]
     
     
  • 4.46, solo_oboroten, 11:25, 20/09/2013 [^] [ответить] [смотреть все]  
  • +/
    Если мне не изменяет мой склероз, то в какой-то из дискуссий пробегала информаци... весь текст скрыт [показать]
     
     
  • 5.49, Michael Shigorin, 13:18, 23/09/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    В обсуждавшемся случае это зависит от компилятора, из gcc уже довольно давно убр... весь текст скрыт [показать]
     
     
  • 6.52, solo_oboroten, 02:34, 24/09/2013 [^] [ответить] [смотреть все]  
  • +/
    Значит сейчас проблемы будут только с теми пакетами, где дата зашивается в вых... весь текст скрыт [показать]
     
     
  • 7.53, Andrey Mitrofanov, 09:50, 24/09/2013 [^] [ответить] [смотреть все]  
  • +/
    Например, с теми, в которых лежат cpio упаковочки с датами каждого файла ... весь текст скрыт [показать]
     
  • 2.25, XoRe, 18:05, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Помнится, hasher отлично собирал php5-memcached-5 3 8 rpm из федоровского php5-m... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Andrey Mitrofanov, 18:20, 19/09/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    насколько там не до бинарного совпадения получаемых rpm fixed ... весь текст скрыт [показать]
     
     
  • 4.51, XoRe, 20:05, 23/09/2013 [^] [ответить] [смотреть все]  
  • +/
    Да, так точнее... весь текст скрыт [показать]
     
  • 3.40, Michael Shigorin, 01:12, 20/09/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    > Помнится

    Вот это склероз, даже мне завидно стало.

     
     
  • 4.50, XoRe, 20:05, 23/09/2013 [^] [ответить] [смотреть все]  
  • +/
    По теме есть что сказать ... весь текст скрыт [показать]
     
     
  • 5.55, Michael Shigorin, 01:43, 25/09/2013 [^] [ответить] [смотреть все]  
  • +/
    даже не знаю, что надо было сделать, чтоб такое помнилось Да, но надо бы тог... весь текст скрыт [показать]
     
  • 1.4, Аноним, 12:07, 19/09/2013 [ответить] [смотреть все]  
  • –2 +/
    "различий во времени сборки"
    фаза луны тоже влияет
     
     
  • 2.12, Аноним, 14:04, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    > фаза луны тоже влияет

    Редхатовский скрипт выставляет ее правильно.

     
  • 1.5, onon, 12:14, 19/09/2013 [ответить] [смотреть все]  
  • +/
    Может теперь можно будет повлиять на ментейнеров и заставить, хотябы тот же wine, собирать без ассоциаций к файлам.
     
     
  • 2.9, Аноним, 13:33, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    На Генту вам сударь надо Ну либо в своем любимом дистре ручками, если только Ва... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Andrey Mitrofanov, 18:21, 19/09/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Нет уж Лучше они - к нам Когда, панимашь, будет повторяемая бинарная сборка ... весь текст скрыт [показать]
     
     
  • 4.41, Michael Shigorin, 01:14, 20/09/2013 [^] [ответить] [смотреть все]  
  • +/
    Никогда, т к фиксация сборочной среды ещё сложней по постановке задачи ... весь текст скрыт [показать]
     
  • 2.14, Аноним, 14:06, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Замечательно А как вам комментарий связан с новостью ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Михрютка, 13:01, 19/09/2013 [ответить] [смотреть все]  
  • –3 +/
    - а что это у вас шумит такое, словно вентилятор - а это Кен Томпсон в могиле в... весь текст скрыт [показать]
     
     
  • 2.7, Crazy Alex, 13:07, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В какой еще могиле?
     
     
  • 3.8, Михрютка, 13:20, 19/09/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    > В какой еще могиле?

    oh shit это я с прямым углом^W^WРитчи перепутал :()

     
  • 2.13, Аноним, 14:05, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А шо вам в них таки не нравится ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Михрютка, 14:21, 19/09/2013 [^] [ответить] [смотреть все]  
  • +/
    котят жалко ... весь текст скрыт [показать]
     
  • 2.28, Andrey Mitrofanov, 18:33, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да, исходная посылка, что совпадающая бинарная пересборка _как-то_ доказывает от... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, lucentcode, 13:53, 19/09/2013 [ответить] [смотреть все]  
  • –3 +/
    Ободряющая новость Может у меня паранойя, но у меня не раз были сомнения а не ... весь текст скрыт [показать]
     
     
  • 2.18, anon13, 14:53, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А что мешает мэйнтейнеру изменить исходный код своего пакета и добавить закладку... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Анонус, 15:04, 19/09/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    Новость читал Закладка непозволит бинарному пакету сооотвествовать байт в байт ... весь текст скрыт [показать]
     
     
  • 4.20, Аноним, 15:15, 19/09/2013 [^] [ответить] [смотреть все]  
  • +4 +/
    Вам говорят, что закладка то может быть в исходниках.
     
     
  • 5.29, Andrey Mitrofanov, 18:35, 19/09/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Причём другого пакета ... весь текст скрыт [показать]
     
  • 3.21, gaga, 16:31, 19/09/2013 [^] [ответить] [смотреть все]  
  • +/
    ничто не мешает. надо смотреть диффы с апстримом.
     
     
  • 4.30, Andrey Mitrofanov, 18:36, 19/09/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    После _полного_ аудита исходников з апстрима Конечно ... весь текст скрыт [показать]
     
     
  • 5.36, Михрютка, 20:23, 19/09/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    и собирать собственным компилятором желательно - написанным вручную машинным ко... весь текст скрыт [показать]
     
     
  • 6.48, arisu, 08:58, 21/09/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    не поможет закладки-то ещё и в железе могут быть ... весь текст скрыт [показать]
     
  • 2.37, Crazy Alex, 20:42, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Понимаете, весьма мало кем интересуются парни из спецслужб, а для более легких с... весь текст скрыт [показать] [показать ветку]
     
  • 2.42, Michael Shigorin, 01:16, 20/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Годков десять как появилась, милай В данном случае она дичайше тупит Особенно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, www2, 09:23, 20/09/2013 [^] [ответить] [смотреть все]  
  • +/
    Дык эти люди наверное воспроизвели для себя инструмент и пользуются втихаря А т... весь текст скрыт [показать]
     
  • 1.23, Аноним, 17:22, 19/09/2013 [ответить] [смотреть все]  
  • –2 +/
    Новость - не прикольно Вот если бы они налабали скрипт который из бинарников сы... весь текст скрыт [показать]
     
     
  • 2.32, Andrey Mitrofanov, 18:38, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Бинарно совпадаюшие с исходными - ... весь текст скрыт [показать] [показать ветку]
     
  • 1.33, Xasd, 19:00, 19/09/2013 [ответить] [смотреть все]  
  • +/
    и так -- вторая половина 2013-года.

    ...сколько лет прошло уж и вот только щаз....

     
     
  • 2.34, Andrey Mitrofanov, 19:59, 19/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    На опеннете наконец-то устышат про 84 Trusting Trust Я угадал Или то был пр... весь текст скрыт [показать] [показать ветку]
     
  • 1.35, Buy, 20:13, 19/09/2013 [ответить] [смотреть все]  
  • +/
    А зачем всё это если закладку можно внести в сам эталонный src.rpm-пакет, непосредственно в исходники ядра просто предложив очередной патч (не зря же Линус "кагбэ в шутку" кивал головой). Этим и будут заниматься серьёзные люди. А от пионеров да, может и будет дополнительная опция защиты.
     
  • 1.38, ip1981, 22:03, 19/09/2013 [ответить] [смотреть все]  
  • –2 +/
    МЕГА-костыли. А в Дебиане всё это "из коробки"
     
     
  • 2.43, Michael Shigorin, 01:19, 20/09/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > МЕГА-костыли. А в Дебиане всё это "из коробки"

    Там есть ещё один моментик, до которого и дебиан не дорос, помнтся, и уж тем более федора.

    Опять же см. http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html

    PS: ldv@ живьём порасспрашивать можно будет завтра-послезавтра в Калуге: http://www.altlinux.ru/news/archive/2013/09/item/702/

     
     
  • 3.45, ip1981, 11:00, 20/09/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    >> МЕГА-костыли. А в Дебиане всё это "из коробки"
    > Там есть ещё один моментик, до которого и дебиан не дорос, помнтся,
    > и уж тем более федора.
    > Опять же см. http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html
    > PS: ldv@ живьём порасспрашивать можно будет завтра-послезавтра в Калуге: http://www.altlinux.ru/news/archive/2013/09/item/702/

    Пф... pbuilder. В Нексенте был zbuilder


     
     
  • 4.47, Andrey Mitrofanov, 14:04, 20/09/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Кстати, спасибо Интересно полистать 84 легким движением - в 74 Проблем... весь текст скрыт [показать]
     
     
  • 5.54, Michael Shigorin, 20:16, 24/09/2013 [^] [ответить] [смотреть все]  
  • +/
    > ...одно из двух^Wтрёх:

    http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html по буковкам C, R, U.

    PS: про zbuilder в nexenta и прочие z/OG в IBM не в курсе.

     
     
  • 6.56, Andrey Mitrofanov, 11:20, 03/11/2013 [^] [ответить] [смотреть все]  
  • +/
    >> ...одно из двух^Wтрёх:
    > http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html по буковкам C, R,
    > U.

    В сравнении с
    http://www.netfort.gr.jp/~dancer/software/pbuilder.html.en
    http://lists.debian.org/debian-devel/2001/08/msg01895.html

    , понятно, что третий случай - [B]постановка[/B] задачи другая. Академ.сорс с рописью ди-ерсте-колонне-марширт против "у меня тут скрипт. работает, вроде. загружаю в Debian".

    А так это _всё_ наколенные скрипты: каждый работает только в одном дистибутиве и/или в присутствии автора. Например: почему pbuilder/hasher/mock нет в пакетах "конкурирующего" дистрибутива (не Deb/не Alt/не RH-like).

    Re: C/R/U -- При использовании fakeroot три пользователя и в pbuilder есть: реальный C, запускающий pbuilder; [fake]root R ставящий зависимости в chroot-е; и U c uid BUILDUSERID=1234 из pbuilderrc. //От fakeroot-а не всё работает, правда (mount).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor