The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.11.2016 08:16  Корпорации профинансируют обеспечение повторяемых сборок пакетов в дистрибутивах

Учреждённый под эгидой организации Linux Foundation фонд Core Infrastructure Initiative (CII), в рамках которого ведущие корпорации объединили свои усилия по поддержке открытых проектов, задействованных в ключевых областях компьютерной индустрии, объявил о предоставлении дополнительного финансирования для проекта, занимающегося обеспечением повторяемых сборок пакетов. В дополнение к прошлогоднему гранту в размере 200 тысяч долларов, Фонд профинансирует работу над повторяемыми сборками пяти разработчиков Debian (Chris Lamb, Mattia Rizzolo, Ximin Luo, Vagrant Cascadian, Holger Levsen) и одного разработчика FreeBSD (Ed Maste).

Повторяемые сборки пакетов дадут пользователю возможность подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних закладок, которые, например, могут быть интегрированы в результате использования поражённого в результате атаки компилятора или сборочного инструментария. Главным образом, различия при сборке одного и того же кода на разных системах вызваны непостоянством состава сборочного окружения и добавлением в файл меняющейся во времени служебной информации, такой как данные о дате сборки.

Для обеспечения повторяемости необходимо полностью воссоздать эталонное сборочное окружение, использовать те же версии сборочного инструментария, идентичный набор опций и настроек по умолчанию, применять те же методы сортировки списков файлов. Несмотря на то, что проект развивается для Debian, к его разработке привлечены представители различных дистрибутивов и операционных систем, включая FreeBSD, NetBSD, Fedora, Ubuntu, OpenWrt, openSUSE и Arch Linux.

  1. Главная ссылка к новости (https://www.coreinfrastructure...)
  2. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  3. OpenNews: Проект по обеспечению повторяемости сборки пакетов для Fedora Linux
  4. OpenNews: Проблема проверки тождественности исходных текстов и бинарных сборок
  5. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
  6. OpenNews: Для 83% пакетов в основном репозитории Debian доказана тождественность сборок исходным текстам
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: reproducible, build
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 08:20, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –7 +/
    redhat не допустит к компилятору
     
     
  • 2.49, Аноним (-), 03:06, 17/11/2016 [^] [ответить]    [к модератору]
  • +/
    Это слишком жирно получилось, не прокатило. Попробуй еще раз.
     
  • 1.2, Аноним (-), 08:45, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –6 +/
    ага, парадом командовать станет он один, зимой одна щель в окне лучше чем много
     
  • 1.3, Аноним (-), 09:26, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –7 +/
    То есть, они хотят всех в одно прокрустово ложе загнать, даже эмбеддовку? Фейл эпичнейший предвижу я. Вдобавок протухать это будет моментально, участие дебианщиков на это кaкбэ намекает.
     
     
  • 2.4, Аноним (-), 10:15, 16/11/2016 [^] [ответить]    [к модератору]
  • –3 +/
    > представители различных дистрибутивов и операционных систем, включая FreeBSD, NetBSD

    я уже знаю кого они сделают виновными
    а может быть их научат как делать

     
  • 2.8, Аноним (-), 12:00, 16/11/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    То есть, они хотят создать рабочий инструмент для подтверждения того, что предос... весь текст скрыт [показать]
     
  • 1.5, noxa (ok), 10:16, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    BSD? Вот это номер. Ладно еще дистибутивы линукса, разные валлпаперы не влияют на сборку. Рад за этот шаг, Ed Maste отличный разработчик, знаю его не только как участника FreeBSD проекта
     
  • 1.6, Аноним (-), 11:35, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    так много специалистов по проблеме повторяемых сборок пакетов в дистрибутивах собралось в этом треде, прям персональная боль у каждого.
     
     
  • 2.7, Аноним (-), 11:54, 16/11/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Я одного только насчитал)
     
  • 1.11, DmA (??), 12:41, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пусть выпустят лучше инструкцию(а лучше скрипт) по пересборке дистрибутива со своими логотипами из исходных текстов  и Дебиан и Центос и Базальт :) Как в Linux From Scratch.
    А то кто знает, чего они там в бинарники добавляют кроме  своих логотипов.
    Чтобы любой мог взять мощный сервак и потратив несколько недель собрал свои бинарные ISO из исходных текстов.
     
     
  • 2.14, Аноним (-), 13:07, 16/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Gentoo жи есть.
     
     
  • 3.16, DmA (??), 13:41, 16/11/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Но если дистрибутив открытый, то почему нет инструкции по его сборке-то Получае... весь текст скрыт [показать]
     
     
  • 4.23, Аноним (-), 15:31, 16/11/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты увяз в Матрице вместе с мвд-фсб Вставай, Нео Начни священный бой С бекдора... весь текст скрыт [показать]
     
     
  • 5.28, DmA (??), 16:35, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Так в Матрице как раз не я сижу, и пускаю слюни на хлебные крошки думая,что я в ... весь текст скрыт [показать]
     
     
  • 6.30, Аноним (-), 16:41, 16/11/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    >А ведь тут даже https не используется...

    https://www.opennet.ru/

     
     
  • 7.32, DmA (??), 17:04, 16/11/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    >>А ведь тут даже https не используется...
    > https://www.opennet.ru/

    странно, не знал, а что же редиректа нет с 80 на 443?

     
  • 6.48, Аноним (-), 00:31, 17/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Сидишь Ведь ты же видишь мои сообщения Давать голову на отсечения в надежде ... весь текст скрыт [показать]
     
  • 6.61, Аноним (-), 16:32, 22/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > тут даже https не используется

    lolwut?
    https://www.eff.org/https-everywhere

     
  • 5.29, Аноним (-), 16:39, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Вы в курсе что два брата режиссёра этого фильма уже стали сёстрами в буквальном... весь текст скрыт [показать]
     
     
  • 6.33, DmA (??), 17:05, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Им там в бочке тепло и уютно ... весь текст скрыт [показать]
     
  • 6.35, Аноним (-), 18:07, 16/11/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    А еще есть сектанты, которых хлебом не корми, но дай поискать скрытый W изначал... весь текст скрыт [показать]
     
     
  • 7.38, Аноним2 (?), 19:34, 16/11/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Кто такие байстюки?
     
     
  • 8.39, Аноним (-), 19:43, 16/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Кто такие байстюки?

    Что, в гугле забанили, да?
    http://dic.academic.ru/dic.nsf/efremova/139696/Байстрюк

     
  • 7.47, Аноним (-), 00:29, 17/11/2016 [^] [ответить]    [к модератору]  
  • +/
    В том то и дело что они и сами таким занимаются. А если и не занимаются, то способны выжигать мозги тем кто ещё умеет думать.
     
  • 6.46, Аноним (-), 00:27, 17/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Я уже не смотрю 3D вещи. И за теми кто их делают не наблюдаю. Не интересно.
     
  • 2.15, Michael Shigorin (ok), 13:32, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Так выпустите За дебиан с центосом не скажу, а по альту вот здесь есть люди с ... весь текст скрыт [показать]
     
     
  • 3.19, DmA (??), 14:20, 16/11/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Ух ты, кто-то собирает Альтернативный АльтЛинукс Не слышал о таких даже Внизу ... весь текст скрыт [показать]
     
     
  • 4.20, Michael Shigorin (ok), 14:44, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Так спросили бы Не-а Кстати, написана она была по мотивам одной из схожих н... весь текст скрыт [показать]
     
     
  • 5.24, DmA (??), 16:01, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    16 потоковый 3 ггц процессор, и памяти относительно немного Ну да, по современ... весь текст скрыт [показать]
     
     
  • 6.26, Michael Shigorin (ok), 16:19, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Ну так проверьте http www altlinux org Mkimage Profiles m-p howto там по умо... весь текст скрыт [показать]
     
  • 4.22, Crazy Alex (ok), 15:16, 16/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Арч Гента именно это и позволяют Гента - ещё и глобальное задание более общей к... весь текст скрыт [показать]
     
     
  • 5.25, DmA (??), 16:04, 16/11/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Все открытые дистрибутивы должны так уметь если все пакеты к ним открыты полно... весь текст скрыт [показать]
     
  • 1.17, Кармер (?), 13:57, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Давайте просто перейдем к Gento
     
     
  • 2.18, Michael Shigorin (ok), 14:09, 16/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > Давайте просто перейдем к Gento

    Не факт, что "просто": http://lipsum.eu/BRB/rb_workflow.html -- ну и главное: зачем?

     
  • 1.27, manster (ok), 16:22, 16/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это просто подарок любителям зондов.

    Мало того что это положительно отразится на здоровости инфраструктуры, так еще и при наличии соответствующей заявленной возможности можно легко выверять порог доверия.

    Отличная инициатива. Список корпораций в студию!

    Появилась потенциальная возможность задействовать USE-флаги и выпиливать systemd.

     
  • 1.43, Аноним (-), 22:46, 16/11/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Главную проблему это не решает Главное проблема это доверие Могу ли я вообще д... весь текст скрыт [показать]
     
     
  • 2.51, DmA (??), 09:41, 17/11/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Философский подход Но тут как бы предполагается, что технические средств наст... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor