værktøjer , som giver dig mulighed for at organisere en uafhængig kontrol af distributionens binære pakker ved at implementere en kontinuerligt kørende byggeproces, der kontrollerer de downloadede pakker med de pakker, der er opnået som et resultat af genopbygning på det lokale system. Værktøjssættet er skrevet i Rust og distribueret under GPLv3-licensen.
I øjeblikket er kun eksperimentel support til pakkebekræftelse fra Arch Linux tilgængelig i rebuilderd, men de lover at tilføje support til Debian snart. I det enkleste tilfælde, at køre rebuilderd installer rebuilderd-pakken fra det almindelige lager, importer GPG-nøglen for at kontrollere miljøet og aktivere den tilsvarende systemtjeneste. Det er muligt at implementere et netværk af flere forekomster af rebuilderd.
Tjenesten overvåger tilstanden af pakkeindekset og begynder automatisk at genopbygge nye pakker i referencemiljøet, hvis tilstand er synkroniseret med indstillingerne i det primære Arch Linux-byggemiljø. Ved genopbygning tages sådanne nuancer som det nøjagtige match af afhængigheder, brugen af den samme sammensætning og versioner af monteringsværktøjssættet, det identiske sæt af muligheder og standardindstillinger, bevarelsen af filsamlingsrækkefølgen (ved hjælp af de samme sorteringsmetoder). i betragtning. Opbygningsprocesindstillingerne forhindrer compileren i at tilføje ikke-permanente serviceoplysninger, såsom tilfældige værdier, referencer til filstier og byggedato- og tidsdata.
I øjeblikket gentagelige builds for 84.1 % af pakkerne fra kernearkivet i Arch Linux, 83.8 % fra ekstralageret og 76.9 % fra fællesskabslageret. Til sammenligning, i Debian 10 denne indikator 94.1 %. Gentagelige builds er en vigtig sikkerhedsfunktion, da de giver enhver bruger mulighed for at sikre sig, at de builds, der tilbydes af distributionen af byte-for-byte-pakker, matcher de builds, der er personligt bygget fra kilden. Uden muligheden for at kontrollere identiteten af en binær assembly, kan brugeren kun blindt stole på en andens assembly-infrastruktur, hvilket kompromitterer compileren eller assembly-værktøjerne, som kan føre til substitution af skjulte bogmærker.
Kilde: opennet.ru