The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

23.07.2017 22:36  Для 94% пакетов Debian обеспечена возможность повторяемой сборки

Разработчики Debian подвели итоги трёх лет работы над обеспечением повторяемых сборок пакетов в дистрибутиве. В настоящее время обеспечена повторяемость сборки 94% пакетов в репозитории Debian Stretch/amd64, в сумме насчитывающем 24822 пакетов. Для около 1300 пакетов поддержка повторяемых сборок пока не доступна, но для многих из них уже подготовлены патчи, решающие проблему, которые пока не рассмотрены сопровождающими пакетов.

Проделана большая работа по созданию файлов .buildinfo с описанием специфики базового сборочного окружения для различных бинарных пакетов, которое необходимо воссоздать для генерации идентичного исполняемого файла. Обычно в .buildinfo приводится такая сопутствующая информация, как точные версии пакетов-зависимостей, устанавливаемая при сборке локаль, эталонное время сборки и параметры запуска сборочного процесса. Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), исключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.

Напомним, что повторяемые сборки позволяют убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

  1. Главная ссылка к новости (https://lists.debian.org/debia...)
  2. OpenNews: В NetBSD обеспечена поддержка повторяемых сборок
  3. OpenNews: Фонд СПО пересмотрел список приоритетных свободных проектов
  4. OpenNews: Корпорации профинансируют обеспечение повторяемых сборок пакетов в дистрибутивах
  5. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  6. OpenNews: Для 83% пакетов в основном репозитории Debian доказана тождественность сборок исходным текстам
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: debian, build
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, DA, 22:58, 23/07/2017 [ответить] [смотреть все]
  • –38 +/
    Чем только не занимаются люди, чтобы не разворачивать прозрачный сборочный класт... весь текст скрыт [показать]
     
     
  • 2.2, zloykakpes, 23:03, 23/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Возьмём launchpad, всё открыто, можем доверять пакетам оттуда? Нет. Прозрачно? Да.
    Возьмём репозиторий debian — всё собрано и мы теперь почти всё можем проверить, что собрано так, как надо.
     
     
  • 3.4, DA, 23:13, 23/07/2017 [^] [ответить] [смотреть все]  
  • –20 +/
    Я бы доверился LP не лучший пример, если не худший, сборочного кластера , а не ... весь текст скрыт [показать]
     
     
  • 4.59, gogo, 19:48, 25/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Возможность проверить - не иллюзорная Необходимость доверять - необоснованная ... весь текст скрыт [показать]
     
  • 2.14, PavelR, 06:28, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Подкинь хороших ссылок почитать про разворачивание сборочных кластеров?
     
     
  • 3.15, DA, 06:32, 24/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    http://openbuildservice.org
    https://abf.io/
     
     
  • 4.62, Michael Shigorin, 11:51, 31/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вас же просили дать ссылки про разворачивание -- про OBS знаю, что это практичес... весь текст скрыт [показать]
     
     
  • 5.69, DA, 22:56, 23/08/2017 [^] [ответить] [смотреть все]  
  • +/
    OpenMandriva развернула: https://www.opennet.ru/opennews/art.shtml?num=44269
     
  • 1.5, Аноним, 23:39, 23/07/2017 [ответить] [смотреть все]  
  • –6 +/
    Офигеть А я-то думал, что в Debian такой проблемы нет Впрочем, может, они заод... весь текст скрыт [показать]
     
     
  • 2.41, Andrey Mitrofanov, 13:56, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Уверены, что это именно та проблема, о которой Вы думали https archive fosdem... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 23:43, 23/07/2017 [ответить] [смотреть все]  
  • +15 +/
    Именно Debian должен быть национальным дистрибутивом! Не альты, росы, астры или еще какой черт, а именно он.
     
     
  • 2.9, Аноним, 02:50, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    да, надо чтобы правительство выделило им грант Астра хороша тем что базируется ... весь текст скрыт [показать] [показать ветку]
     
  • 2.10, Ergil, 03:04, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Астра — пересборка Дэбиана за счет налогоплательщиков.
     
     
  • 3.13, Аноним, 05:53, 24/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ждем новость Для 94 пакетов Astra Linux обеспечена возможность повторяемой сбо... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 22:06, 24/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    не будет такой новости, так как тогда можно будет выдать пакеты дебиана, за серт... весь текст скрыт [показать]
     
     
  • 5.64, Michael Shigorin, 11:55, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот только пакеты поштучно не являются поставляемым товаром , сертификат у них ... весь текст скрыт [показать]
     
  • 3.20, Аноним, 08:12, 24/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты похоже про Астру только слушал База да Debian, но при этом свое DE, манд... весь текст скрыт [показать]
     
     
  • 4.21, andy, 08:39, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Это же какой свой DE То есть, по-умолчанию включен SELinux AppArmor Большое до... весь текст скрыт [показать]
     
     
  • 5.23, nrv, 09:08, 24/07/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    С красной звездой вместо кнопки пуск. Серьезно.
     
     
  • 6.34, Аноним, 11:41, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    А серпа и молота там случайно где не затесалось?
     
  • 5.43, Аноним, 14:37, 24/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Fly достижение, да Там своя система Откуда вы только беретесь такие Не разби... весь текст скрыт [показать]
     
  • 5.65, Michael Shigorin, 11:58, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    На вид перекликается с KDE3, при беглом ощупывании скорее приятное, сильно не см... весь текст скрыт [показать]
     
  • 3.35, J.L., 12:02, 24/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    и это уже будет хорошо, правда если Астровцы будут делать на эти деньги сертифик... весь текст скрыт [показать]
     
  • 3.42, Аноним, 14:31, 24/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Тогда Ubuntu - это пересборка Debian за счет Шаттлворта.
     
  • 3.50, Аноним, 18:52, 24/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Астра 8212 кривая пересборка Дэбиана за счет налогоплательщиков fix ... весь текст скрыт [показать]
     
     
  • 4.66, Michael Shigorin, 12:03, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то Русбиттех -- тоже частная лавочка, насколько могу судить I И вот так... весь текст скрыт [показать]
     
  • 3.58, freehck, 15:30, 25/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ага, как же Видел я Astra Smolensk Там половину пакетов понадёргали из Debian ... весь текст скрыт [показать]
     
  • 2.19, Кристина, 08:02, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Нам не нужен национальный дистрибутив ,как только такой появится-сразу запретят... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 09:12, 24/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Как же всё тупо оказалось То есть отключить это не составит труда Или там всё ... весь текст скрыт [показать]
     
  • 2.39, Ivan1986, 13:08, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Пусть лучше альты, росы и прочее дерьмо, еще не хватало чтобы российские чиновни... весь текст скрыт [показать] [показать ветку]
     
  • 2.63, Michael Shigorin, 11:53, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кому он ещё что должен и в курсе ли разработчики демьяна Да, и что будем делат... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 23:50, 23/07/2017 [ответить] [смотреть все]  
  • –1 +/
    Проект Debian скоро научится использовать AUR. :D (Arch 42tw)
     
     
  • 2.8, Аноним, 01:12, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А зачем им помойка, если у них и так пакетов хватает?
     
     
  • 3.28, Аноним, 09:37, 24/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Иногда пакетов своих нехватает Если AUR это помойка, тогда почему пользователи ... весь текст скрыт [показать]
     
     
  • 4.29, Аноним, 09:58, 24/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Например Мне не хватило только DeadBeef, но он есть в официально поддерживаемом... весь текст скрыт [показать]
     
     
  • 5.30, Аноним, 10:06, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Зато нет беспорядка в etc и знаем что работает, а что нет Да и автонастройка э... весь текст скрыт [показать]
     
     
  • 6.33, Аноним, 11:12, 24/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну с этим я даже соглашусь Когда после обновления неожиданно отваливаются иксы ... весь текст скрыт [показать]
     
     
  • 7.37, Аноним, 13:02, 24/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    После установки пропериатрных nVidia дров as example Это самые редчайшие случ... весь текст скрыт [показать]
     
     
  • 8.44, Аноним, 15:10, 24/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    К чему это Я иронизировал по поводу знаем, что всё работает Обычно apt разр... весь текст скрыт [показать]
     
     
  • 9.47, Аноним, 17:16, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Спасибо, но иронию судьбы мы уже смотрели и не раз APT - не панацея Страдают о... весь текст скрыт [показать]
     
     
  • 10.48, Аноним, 17:23, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Опять же сообщаю, что apt предлагает либо изменить конфиг на более новый из паке... весь текст скрыт [показать]
     
     
  • 11.49, Аноним, 17:31, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Не о том вы Изменение одного конфигурационного файла одного приложения затраг... весь текст скрыт [показать]
     
     
  • 12.67, Michael Shigorin, 12:06, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    И чем тут лучше арчик Тем, что в нём менеджер этого рода зависимостей точно та... весь текст скрыт [показать]
     
  • 4.31, Led, 10:17, 24/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    1 Потому что каникулы 2 Потому что мало уроков задают ... весь текст скрыт [показать]
     
     
  • 5.52, Аноним, 22:01, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Вы считаете пользователей ArchLinux детьми ... весь текст скрыт [показать]
     
  • 1.11, Андрей, 03:36, 24/07/2017 [ответить] [смотреть все]  
  • +3 +/
    Это, пожалуй, самое важное направление в развитии открытого и свободного дистрибутива. Успехов в достижении и поддержании заветных 99,9(9)%!
     
     
  • 2.12, Аноним, 04:48, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Безопасность - это важно.
     
     
  • 3.45, Andrey Mitrofanov, 15:34, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    > Безопасность - это

    Это не про безопасность. Это перпендикулярно.

     
  • 2.16, A.Stahl, 07:33, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Так писать нехорошо Во-первых, почему период начинается ПОСЛЕ такой же цифры Л... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, iPony, 07:53, 24/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    > тождественна

    Неуместное слово в данном контексте

     
     
  • 4.18, A.Stahl, 07:58, 24/07/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Это ещё почему Тождественность это полное совпадение всех свойств Что мы и наб... весь текст скрыт [показать]
     
     
  • 5.22, Diozan, 08:55, 24/07/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Здесь нет полного совпадения свойств 100 - это 100 и точка А 99, 9 - всегд... весь текст скрыт [показать]
     
     
  • 6.25, Аноним, 09:19, 24/07/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Нельзя так сказать Это лишь представление рационального числа в виде десятичной... весь текст скрыт [показать]
     
     
  • 7.40, Аноним, 13:44, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    1 3 1 3 1 3 1 0 3 0 3 0 3 0 9 9 9 1 какие ещё вар... весь текст скрыт [показать]
     
  • 6.26, Аноним, 09:25, 24/07/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    https ru wikipedia org wiki 0, 9 1 0 9 Это одинаковые числа Одно из до... весь текст скрыт [показать]
     
  • 6.27, Аноним, 09:31, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    https://ru.wikipedia.org/wiki/0,(9)
     
     
  • 7.36, _, 12:51, 24/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    https wikimedia org api rest_v1 media math render svg 1de260524723fdfb77a83945... весь текст скрыт [показать]
     
     
  • 8.38, A.Stahl, 13:02, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Это вторая строка минус первая.
     
  • 2.57, анонимчик, 13:05, 25/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    максимальное какое возможно после 100 - 99.9959713158 - то при условии что из всей пакетной базы  только один пакет не будет собираться повторно.
     
     
  • 3.68, Michael Shigorin, 12:08, 31/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > максимальное какое возможно после 100 - 99.9959713158

    Ну хоть один практик нашёлся, браво!

     
  • 1.32, RM, 11:02, 24/07/2017 [ответить] [смотреть все]  
  • –1 +/
    >Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как...

    Вот это то и самое интересное и как настроить среду сборки reproducable build я нигде не нашел, мне кажется это know how людей делающих этот проэкт. Тогда мне оно "не нужно". Хотя diffoscope пригодился.

     
  • 1.60, leo, 10:49, 26/07/2017 [ответить] [смотреть все]  
  • –2 +/
    гм.. зачем если уже есть nixos? имхо там самое крутое управление окружением.
     
     
  • 2.61, Andrey Mitrofanov, 11:14, 26/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > гм.. зачем если уже есть nixos? имхо там самое крутое управление окружением.

    Тщательнее ищите разницу [I]![/I]   //...и проценты заодно поищите.

    https://garbas.si/2016/reproducible-builds-summit-in-berlin.html#different-kin

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor