Доступен rebuilderd для независимой верификации Arch Linux при помощи повторяемых сборок22.04.2020 09:30

Представлен инструментарий rebuilderd, позволяющий организовать независимую проверку бинарных пакетов дистрибутива через развёртывание непрерывно работающего сборочного процесса, сверяющего загружаемые пакеты с пакетами, получаемыми в результате пересборки на локальной системе.

В настоящее время в rebuilderd доступна только экспериментальная поддержка верификации пакетов из Arch Linux, но в скором времени обещают добавить и поддержку Debian. В простейшем случае для запуска rebuilderd достаточно установить пакет rebuilderd из штатного репозитория, импортировать GPG-ключ для проверки окружения и активировать соответствующий системный сервис. Возможно развёрытвание сети из нескольких экземпляров rebuilderd.

Сервис отслеживает состояние индекса пакетов и автоматически запускает пересборку новых пакетов в эталонном окружении, состояние которого синхронизировано с настройками основного сборочного окружения Arch Linux. При пересборке учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки). Настройки процесса сборки исключают добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.

В настоящее время повторяемые сборки обеспечены для 84.1% пакетов из core-репозитория Arch Linux, 83.8% из репозитория extras и 76.9% из репозитория community. Для сравнения в Debian 10 этот показатель составляет 94.1%. Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки пакетов байт в байт совпадают со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

Источник: http://www.opennet.ru/opennews/art.shtml? num=52784