herramientas , que le permite organizar la verificación independiente de los paquetes binarios de la distribución mediante la implementación de un proceso de ensamblaje en ejecución continua que verifica los paquetes descargados con los paquetes obtenidos como resultado de la reconstrucción en el sistema local. El kit de herramientas está escrito en Rust y se distribuye bajo la licencia GPLv3.
Actualmente, solo está disponible en builderd soporte experimental para la verificación de paquetes de Arch Linux, pero prometen agregar soporte para Debian pronto. En el caso más simple, para ejecutar builderd Instale el paquete builderd desde el repositorio estándar, importe la clave GPG para verificar el entorno y active el servicio del sistema correspondiente. Es posible implementar una red a partir de varias instancias de reconstrucción.
El servicio monitorea el estado del índice del paquete y automáticamente comienza a reconstruir nuevos paquetes en el entorno de referencia, cuyo estado está sincronizado con la configuración del entorno de compilación principal de Arch Linux. Al reconstruir, se tienen en cuenta matices como la coincidencia exacta de dependencias, el uso de la misma composición y versiones de las herramientas de ensamblaje, un conjunto idéntico de opciones y configuraciones predeterminadas y la preservación del orden de ensamblaje de archivos (uso de los mismos métodos de clasificación). cuenta. La configuración del proceso de compilación impide que el compilador agregue información de servicio no permanente, como valores aleatorios, enlaces a rutas de archivos e información de fecha y hora de compilación.
Construcciones actualmente repetibles para el 84.1% de los paquetes del repositorio principal de Arch Linux, el 83.8% del repositorio de extras y el 76.9% del repositorio comunitario. Para comparar en Debian 10 esta figura 94.1%. Las compilaciones repetibles son un elemento importante de seguridad, ya que brindan a cualquier usuario la oportunidad de asegurarse de que las compilaciones de paquetes byte a byte ofrecidas por la distribución coincidan con los ensamblados compilados personalmente a partir del código fuente. Sin la capacidad de verificar la identidad de un ensamblado binario, el usuario sólo puede confiar ciegamente en la infraestructura de ensamblaje de otra persona, donde comprometer el compilador o las herramientas de ensamblaje puede llevar a la sustitución de marcadores ocultos.
Fuente: opennet.ru