nástroje , který umožňuje organizovat nezávislé ověřování binárních balíčků distribuce pomocí nasazení nepřetržitě běžícího procesu sestavení, který kontroluje stažené balíčky s balíčky získanými v důsledku přestavby na místním systému. Sada nástrojů je napsána v jazyce Rust a je distribuována pod licencí GPLv3.
V současné době je v rebuilderdu k dispozici pouze experimentální podpora pro ověřování balíčků z Arch Linuxu, ale slibují, že brzy přidají podporu pro Debian. V nejjednodušším případě spustit rebuilderd nainstalujte balíček rebuilderd ze standardního úložiště, importujte klíč GPG pro kontrolu prostředí a aktivujte příslušnou systémovou službu. Je možné nasadit síť z několika instancí rebuilderd.
Služba sleduje stav indexu balíčků a automaticky zahájí přestavbu nových balíčků v referenčním prostředí, jehož stav je synchronizován s nastavením hlavního prostředí sestavení Arch Linuxu. Při přestavbě se berou v úvahu takové nuance, jako je přesné spárování závislostí, použití stejného složení a verzí nástrojů sestavy, identická sada možností a výchozích nastavení a zachování pořadí sestavování souborů (použití stejných metod řazení). účet. Nastavení procesu sestavení brání kompilátoru přidávat informace o netrvalých službách, jako jsou náhodné hodnoty, odkazy na cesty k souborům a data a času sestavení.
Aktuálně opakovatelné sestavení pro 84.1 % balíčků ze základního úložiště Arch Linux, 83.8 % z úložiště extra a 76.9 % z úložiště komunity. Pro srovnání v Debianu 10 toto číslo 94.1 %. Opakovatelné sestavení jsou důležitým prvkem zabezpečení, protože dávají každému uživateli příležitost ujistit se, že sestavení balíčků bajt po bajtu nabízená distribucí odpovídají sestavám zkompilovaným osobně ze zdrojového kódu. Bez možnosti ověřit identitu binárního sestavení může uživatel pouze slepě věřit infrastruktuře sestavení někoho jiného, kde kompromitace kompilátoru nebo nástrojů sestavení může vést k nahrazení skrytých záložek.
Zdroj: opennet.ru