أدوات ، والذي يسمح لك بتنظيم التحقق المستقل من الحزم الثنائية للتوزيع من خلال نشر عملية التجميع المستمرة التي تتحقق من الحزم التي تم تنزيلها مع الحزم التي تم الحصول عليها نتيجة لإعادة البناء على النظام المحلي. مجموعة الأدوات مكتوبة بلغة Rust ويتم توزيعها بموجب ترخيص GPLv3.
حاليًا، يتوفر فقط الدعم التجريبي للتحقق من الحزمة من Arch Linux في Rebuilerd، لكنهم يعدون بإضافة دعم لـ Debian قريبًا. في أبسط الحالات، قم بتشغيل إعادة البناء قم بتثبيت حزمة إعادة البناء من المستودع القياسي، واستورد مفتاح GPG للتحقق من البيئة وتنشيط خدمة النظام المقابلة. من الممكن نشر شبكة من عدة مثيلات لإعادة البناء.
تراقب الخدمة حالة فهرس الحزم وتبدأ تلقائيًا في إعادة إنشاء الحزم الجديدة في البيئة المرجعية، حيث تتم مزامنة حالتها مع إعدادات بيئة بناء Arch Linux الرئيسية. عند إعادة البناء، يتم أخذ الفروق الدقيقة مثل المطابقة الدقيقة للتبعيات، واستخدام نفس التكوين وإصدارات أدوات التجميع، ومجموعة متطابقة من الخيارات والإعدادات الافتراضية، والحفاظ على ترتيب تجميع الملف (استخدام نفس طرق الفرز) في الاعتبار حساب. تمنع إعدادات عملية الإنشاء المترجم من إضافة معلومات خدمة غير دائمة، مثل القيم العشوائية والارتباطات إلى مسارات الملفات وبيانات تاريخ ووقت الإنشاء.
البنيات القابلة للتكرار حاليًا لـ 84.1% من الحزم من مستودع Arch Linux الأساسي، و83.8% من مستودع الإضافات و76.9% من مستودع المجتمع. للمقارنة في دبيان 10 هذا الرقم 94.1%. تعد الإصدارات المتكررة عنصرًا مهمًا للأمان، لأنها تمنح أي مستخدم الفرصة للتأكد من أن إصدارات حزمة البايت التي يقدمها التوزيع تتطابق مع التجميعات التي تم تجميعها شخصيًا من الكود المصدري. بدون القدرة على التحقق من هوية التجميع الثنائي، لا يمكن للمستخدم إلا أن يثق بشكل أعمى في البنية التحتية للتجميع الخاصة بشخص آخر، حيث يمكن أن يؤدي المساس بالمترجم أو أدوات التجميع إلى استبدال الإشارات المرجعية المخفية.
المصدر: opennet.ru