The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

23.07.2017 22:36  Для 94% пакетов Debian обеспечена возможность повторяемой сборки

Разработчики Debian подвели итоги трёх лет работы над обеспечением повторяемых сборок пакетов в дистрибутиве. В настоящее время обеспечена повторяемость сборки 94% пакетов в репозитории Debian Stretch/amd64, в сумме насчитывающем 24822 пакетов. Для около 1300 пакетов поддержка повторяемых сборок пока не доступна, но для многих из них уже подготовлены патчи, решающие проблему, которые пока не рассмотрены сопровождающими пакетов.

Проделана большая работа по созданию файлов .buildinfo с описанием специфики базового сборочного окружения для различных бинарных пакетов, которое необходимо воссоздать для генерации идентичного исполняемого файла. Обычно в .buildinfo приводится такая сопутствующая информация, как точные версии пакетов-зависимостей, устанавливаемая при сборке локаль, эталонное время сборки и параметры запуска сборочного процесса. Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), исключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.

Напомним, что повторяемые сборки позволяют убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

  1. Главная ссылка к новости (https://lists.debian.org/debia...)
  2. OpenNews: В NetBSD обеспечена поддержка повторяемых сборок
  3. OpenNews: Фонд СПО пересмотрел список приоритетных свободных проектов
  4. OpenNews: Корпорации профинансируют обеспечение повторяемых сборок пакетов в дистрибутивах
  5. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  6. OpenNews: Для 83% пакетов в основном репозитории Debian доказана тождественность сборок исходным текстам
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: debian, build
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, DA (?), 22:58, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –38 +/
    Чем только не занимаются люди, чтобы не разворачивать прозрачный сборочный кластер…
     
     
  • 2.2, zloykakpes (ok), 23:03, 23/07/2017 [^] [ответить]    [к модератору]
  • +6 +/
    Возьмём launchpad, всё открыто, можем доверять пакетам оттуда? Нет. Прозрачно? Да.
    Возьмём репозиторий debian — всё собрано и мы теперь почти всё можем проверить, что собрано так, как надо.
     
     
  • 3.4, DA (?), 23:13, 23/07/2017 [^] [ответить]    [к модератору]
  • –20 +/
    Я бы доверился LP (не лучший пример, если не худший, сборочного кластера), а не иллюзорной возможности собственноручно проверять пакеты дистрибутива.
     
     
  • 4.59, gogo (?), 19:48, 25/07/2017 [^] [ответить]    [к модератору]
  • +/
    Возможность проверить - не иллюзорная.
    Необходимость доверять - необоснованная.
     
  • 2.14, PavelR (??), 06:28, 24/07/2017 [^] [ответить]    [к модератору]
  • +2 +/
    Подкинь хороших ссылок почитать про разворачивание сборочных кластеров?
     
     
  • 3.15, DA (?), 06:32, 24/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    http://openbuildservice.org
    https://abf.io/
     
     
  • 4.62, Michael Shigorin (ok), 11:51, 31/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Вас же просили дать ссылки про разворачивание -- про OBS знаю, что это практичес... весь текст скрыт [показать]
     
     
  • 5.69, DA (?), 22:56, 23/08/2017 [^] [ответить]    [к модератору]  
  • +/
    OpenMandriva развернула: https://www.opennet.ru/opennews/art.shtml?num=44269
     
  • 1.5, Аноним (-), 23:39, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –6 +/
    Офигеть. А я-то думал, что в Debian такой проблемы нет. Впрочем, может, они заодно и Mono попинали в этом направлении, надо глянуть...
     
     
  • 2.41, Andrey Mitrofanov (?), 13:56, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Уверены, что это именно та проблема, о которой Вы думали https archive fosdem... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 23:43, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +15 +/
    Именно Debian должен быть национальным дистрибутивом! Не альты, росы, астры или еще какой черт, а именно он.
     
     
  • 2.9, Аноним (-), 02:50, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    да, надо чтобы правительство выделило им грант. Астра хороша тем что базируется на дебе
     
  • 2.10, Ergil (ok), 03:04, 24/07/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    Астра — пересборка Дэбиана за счет налогоплательщиков.
     
     
  • 3.13, Аноним (-), 05:53, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Ждем новость "Для 94% пакетов Astra Linux обеспечена возможность повторяемой сборки"
     
     
  • 4.53, Аноним (-), 22:06, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    не будет такой новости, так как тогда можно будет выдать пакеты дебиана, за сертификацию которых астра не платит, за пакеты астры, за сертификацию которых астра платит.
     
     
  • 5.64, Michael Shigorin (ok), 11:55, 31/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Вот только пакеты поштучно не являются поставляемым товаром , сертификат у них ... весь текст скрыт [показать]
     
  • 3.20, Аноним (-), 08:12, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >Астра — пересборка Дэбиана за счет налогоплательщиков.

    Ты похоже про "Астру" только слушал... База да Debian, но при этом свое DE, мандатная система контроля доступа и много чего ещё.

     
     
  • 4.21, andy (??), 08:39, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > но при этом свое DE

    Это же какой свой DE?

    > мандатная система контроля доступа и много чего ещё.

    То есть, по-умолчанию включен SELinux/AppArmor? Большое
    достижение, да!

     
     
  • 5.23, nrv (ok), 09:08, 24/07/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    С красной звездой вместо кнопки пуск. Серьезно.
     
     
  • 6.34, Аноним (-), 11:41, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    А серпа и молота там случайно где не затесалось?
     
  • 5.43, Аноним (-), 14:37, 24/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Fly достижение, да Там своя система Откуда вы только беретесь такие Не разби... весь текст скрыт [показать]
     
  • 5.65, Michael Shigorin (ok), 11:58, 31/07/2017 [^] [ответить]     [к модератору]  
  • +/
    На вид перекликается с KDE3, при беглом ощупывании скорее приятное, сильно не см... весь текст скрыт [показать]
     
  • 3.35, J.L. (?), 12:02, 24/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    и это уже будет хорошо, правда если Астровцы будут делать на эти деньги сертифик... весь текст скрыт [показать]
     
  • 3.42, Аноним (-), 14:31, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Тогда Ubuntu - это пересборка Debian за счет Шаттлворта.
     
  • 3.50, Аноним (-), 18:52, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Астра — пересборка Дэбиана за счет налогоплательщиков.

    Астра — кривая пересборка Дэбиана за счет налогоплательщиков. (fix)

     
     
  • 4.66, Michael Shigorin (ok), 12:03, 31/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Вообще-то Русбиттех -- тоже частная лавочка, насколько могу судить I И вот так... весь текст скрыт [показать]
     
  • 3.58, freehck (ok), 15:30, 25/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Ага, как же Видел я Astra Smolensk Там половину пакетов понадёргали из Debian ... весь текст скрыт [показать]
     
  • 2.19, Кристина (??), 08:02, 24/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Нам не нужен национальный дистрибутив ,как только такой появится-сразу запретят... весь текст скрыт [показать]
     
     
  • 3.24, Аноним (-), 09:12, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > built an own kernel module named rtscan

    Как же всё тупо оказалось. То есть отключить это не составит труда. Или там всё анально огорожено?

     
  • 2.39, Ivan1986 (?), 13:08, 24/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Пусть лучше альты, росы и прочее дерьмо, еще не хватало чтобы российские чиновни... весь текст скрыт [показать]
     
  • 2.63, Michael Shigorin (ok), 11:53, 31/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Кому он ещё что должен и в курсе ли разработчики демьяна Да, и что будем делат... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 23:50, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Проект Debian скоро научится использовать AUR. :D (Arch 42tw)
     
     
  • 2.8, Аноним (-), 01:12, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    А зачем им помойка, если у них и так пакетов хватает?
     
     
  • 3.28, Аноним (-), 09:37, 24/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > ... если у них и так пакетов хватает?

    Иногда пакетов своих нехватает.

    > А зачем им помойка, ...

    Если AUR это помойка, тогда почему пользователи её поддерживают?

     
     
  • 4.29, Аноним (-), 09:58, 24/07/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Например Мне не хватило только DeadBeef, но он есть в официально поддерживаемом... весь текст скрыт [показать]
     
     
  • 5.30, Аноним (-), 10:06, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Зато нет беспорядка в etc и знаем что работает, а что нет Да и автонастройка э... весь текст скрыт [показать]
     
     
  • 6.33, Аноним (-), 11:12, 24/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну с этим я даже соглашусь Когда после обновления неожиданно отваливаются иксы ... весь текст скрыт [показать]
     
     
  • 7.37, Аноним (-), 13:02, 24/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    После установки пропериатрных nVidia дров as example Это самые редчайшие случ... весь текст скрыт [показать]
     
     
  • 8.44, Аноним (-), 15:10, 24/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    К чему это Я иронизировал по поводу знаем, что всё работает Обычно apt разр... весь текст скрыт [показать]
     
     
  • 9.47, Аноним (-), 17:16, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Спасибо, но иронию судьбы мы уже смотрели и не раз APT - не панацея Страдают о... весь текст скрыт [показать]
     
     
  • 10.48, Аноним (-), 17:23, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Опять же сообщаю, что apt предлагает либо изменить конфиг на более новый из паке... весь текст скрыт [показать]
     
     
  • 11.49, Аноним (-), 17:31, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Не о том вы Изменение одного конфигурационного файла одного приложения затраг... весь текст скрыт [показать]
     
     
  • 12.67, Michael Shigorin (ok), 12:06, 31/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > APT с этого не заскулит и не скажет "а можно ли сделать это так или иначе".

    И чем тут лучше арчик?  Тем, что в нём менеджер этого рода зависимостей точно так же внешний?

     
  • 4.31, Led (ok), 10:17, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Если AUR это помойка, тогда почему пользователи её поддерживают?

    1) Потому что каникулы.

    2) Потому что мало уроков задают.

     
     
  • 5.52, Аноним (-), 22:01, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > 1) Потому что каникулы.
    > 2) Потому что мало уроков задают.

    Вы считаете пользователей ArchLinux детьми?

     
  • 1.11, Андрей (??), 03:36, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Это, пожалуй, самое важное направление в развитии открытого и свободного дистрибутива. Успехов в достижении и поддержании заветных 99,9(9)%!
     
     
  • 2.12, Аноним (-), 04:48, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Безопасность - это важно.
     
     
  • 3.45, Andrey Mitrofanov (?), 15:34, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Безопасность - это

    Это не про безопасность. Это перпендикулярно.

     
  • 2.16, A.Stahl (ok), 07:33, 24/07/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    Так писать нехорошо Во-первых, почему период начинается ПОСЛЕ такой же цифры Л... весь текст скрыт [показать]
     
     
  • 3.17, iPony (?), 07:53, 24/07/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > тождественна

    Неуместное слово в данном контексте

     
     
  • 4.18, A.Stahl (ok), 07:58, 24/07/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Это ещё почему? Тождественность это полное совпадение всех свойств. Что мы и наблюдаем. Вид записи различный, но суть одинакова. Идеальный пример для иллюстрации тождественности.
     
     
  • 5.22, Diozan (??), 08:55, 24/07/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Здесь нет полного совпадения свойств.
    100% - это 100% и точка.
    А 99,(9)% - всегда можно сказать, если что-то пошло не так,, что я же не гарантировал 100%-го результата...

     
     
  • 6.25, Аноним (-), 09:19, 24/07/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    Нельзя так сказать Это лишь представление рационального числа в виде десятичной... весь текст скрыт [показать]
     
     
  • 7.40, Аноним (-), 13:44, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    1/3 + 1/3 + 1/3 = 1
    0.(3) + 0.(3) + 0.(3) = 0.(9)?


    ......

    9/9 = 1

    какие ещё варианты?

     
  • 6.26, Аноним (-), 09:25, 24/07/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    https ru wikipedia org wiki 0, 9 1 0 9 Это одинаковые числа Одно из до... весь текст скрыт [показать]
     
  • 6.27, Аноним (-), 09:31, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    https://ru.wikipedia.org/wiki/0,(9)
     
     
  • 7.36, _ (??), 12:51, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    https://wikimedia.org/api/rest_v1/media/math/render/svg/1de260524723fdfb77a839

    Что за действие в 3 строке? Откуда это равенство?

     
     
  • 8.38, A.Stahl (ok), 13:02, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Это вторая строка минус первая.
     
  • 2.57, анонимчик (?), 13:05, 25/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    максимальное какое возможно после 100 - 99.9959713158 - то при условии что из всей пакетной базы  только один пакет не будет собираться повторно.
     
     
  • 3.68, Michael Shigorin (ok), 12:08, 31/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > максимальное какое возможно после 100 - 99.9959713158

    Ну хоть один практик нашёлся, браво!

     
  • 1.32, RM (?), 11:02, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как...

    Вот это то и самое интересное и как настроить среду сборки reproducable build я нигде не нашел, мне кажется это know how людей делающих этот проэкт. Тогда мне оно "не нужно". Хотя diffoscope пригодился.

     
  • 1.60, leo (??), 10:49, 26/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    гм.. зачем если уже есть nixos? имхо там самое крутое управление окружением.
     
     
  • 2.61, Andrey Mitrofanov (?), 11:14, 26/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > гм.. зачем если уже есть nixos? имхо там самое крутое управление окружением.

    Тщательнее ищите разницу [I]![/I]   //...и проценты заодно поищите.

    https://garbas.si/2016/reproducible-builds-summit-in-berlin.html#different-kin

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor