Werkzeuge , mit dem Sie eine unabhängige Überprüfung der Binärpakete der Distribution organisieren können, indem Sie einen kontinuierlich laufenden Assemblerprozess einsetzen, der heruntergeladene Pakete mit Paketen vergleicht, die als Ergebnis der Neuerstellung auf dem lokalen System erhalten wurden. Das Toolkit ist in Rust geschrieben und wird unter der GPLv3-Lizenz vertrieben.
Derzeit ist in Rebuilder nur experimentelle Unterstützung für die Paketüberprüfung von Arch Linux verfügbar, es wird jedoch versprochen, bald Unterstützung für Debian hinzuzufügen. Im einfachsten Fall führen Sie Rebuilder aus Installieren Sie das Rebuilder-Paket aus dem Standard-Repository, importieren Sie den GPG-Schlüssel, um die Umgebung zu überprüfen, und aktivieren Sie den entsprechenden Systemdienst. Es ist möglich, ein Netzwerk aus mehreren Instanzen von Rebuilder bereitzustellen.
Der Dienst überwacht den Status des Paketindex und beginnt automatisch mit der Neuerstellung neuer Pakete in der Referenzumgebung, deren Status mit den Einstellungen der Haupt-Arch-Linux-Build-Umgebung synchronisiert wird. Beim Neuaufbau werden Nuancen wie die genaue Übereinstimmung von Abhängigkeiten, die Verwendung derselben Zusammensetzung und derselben Versionen der Assemblierungstools, ein identischer Satz von Optionen und Standardeinstellungen sowie die Beibehaltung der Dateiassemblierungsreihenfolge (Verwendung derselben Sortiermethoden) berücksichtigt Konto. Die Build-Prozesseinstellungen verhindern, dass der Compiler nicht permanente Dienstinformationen hinzufügt, wie z. B. Zufallswerte, Links zu Dateipfaden sowie Informationen zu Builddatum und -uhrzeit.
Derzeit wiederholbare Builds für 84.1 % der Pakete aus dem Arch Linux-Kern-Repository, 83.8 % aus dem Extras-Repository und 76.9 % aus dem Community-Repository. Zum Vergleich in Debian 10 diese Abbildung 94.1 %. Wiederholbare Builds sind ein wichtiges Element der Sicherheit, da sie jedem Benutzer die Möglichkeit geben, sicherzustellen, dass die von der Distribution angebotenen Byte-für-Byte-Paket-Builds mit den persönlich aus dem Quellcode kompilierten Assemblys übereinstimmen. Ohne die Möglichkeit, die Identität einer binären Assembly zu überprüfen, kann der Benutzer nur blind der Assembly-Infrastruktur einer anderen Person vertrauen, wobei eine Kompromittierung des Compilers oder der Assembler-Tools zur Ersetzung versteckter Lesezeichen führen kann.
Source: opennet.ru