Релиз rebuilderd 0.2.1 для независимой верификации Arch Linux при помощи повторяемых сборок

rebuilderd 0.2.1 Новости

Представлен инструментарий rebuilderd 0.2.1, позволяющий организовать независимую проверку бинарных пакетов дистрибутива через развёртывание непрерывно работающего сборочного процесса, сверяющего загружаемые пакеты с пакетами, получаемыми в результате пересборки на локальной системе. Инструментарий написан на языке Rust и распространяется под лицензией GPLv3.

Релиз rebuilderd 0.2.1 для независимой верификации Arch Linux при помощи повторяемых сборок

В настоящее время в rebuilderd доступна только экспериментальная поддержка верификации пакетов из Arch Linux, но в скором времени обещают добавить и поддержку Debian. В простейшем случае для запуска rebuilderd достаточно установить пакет rebuilderd из штатного репозитория, импортировать GPG-ключ для проверки окружения и активировать соответствующий системный сервис. Возможно развёрытвание сети из нескольких экземпляров rebuilderd.

Сервис отслеживает состояние индекса пакетов и автоматически запускает пересборку новых пакетов в эталонном окружении, состояние которого синхронизировано с настройками основного сборочного окружения Arch Linux. При пересборке учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки). Настройки процесса сборки исключают добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.

В настоящее время повторяемые сборки обеспечены для 84.1% пакетов из core-репозитория Arch Linux, 83.8% из репозитория extras и 76.9% из репозитория community. Для сравнения в Debian 10 этот показатель составляет 94.1%. Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки пакетов байт в байт совпадают со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

Publisher
Оцените автора
AsaDagar
Добавить комментарий