outils , qui vous permet d'organiser une vérification indépendante des packages binaires de la distribution grâce au déploiement d'un processus d'assemblage exécuté en continu qui vérifie les packages téléchargés avec les packages obtenus à la suite de la reconstruction sur le système local. La boîte à outils est écrite en Rust et est distribuée sous licence GPLv3.
Actuellement, seule la prise en charge expérimentale de la vérification des paquets d'Arch Linux est disponible dans reconstructeur, mais ils promettent d'ajouter bientôt la prise en charge de Debian. Dans le cas le plus simple, pour exécuter reconstructed installez le package reconstructeur à partir du référentiel standard, importez la clé GPG pour vérifier l'environnement et activez le service système correspondant. Il est possible de déployer un réseau à partir de plusieurs instances de reconstructeur.
Le service surveille l'état de l'index des packages et commence automatiquement à reconstruire les nouveaux packages dans l'environnement de référence, dont l'état est synchronisé avec les paramètres de l'environnement de construction principal d'Arch Linux. Lors de la reconstruction, des nuances telles que la correspondance exacte des dépendances, l'utilisation de la même composition et des mêmes versions des outils d'assemblage, un ensemble identique d'options et de paramètres par défaut et la préservation de l'ordre d'assemblage des fichiers (utilisation des mêmes méthodes de tri) sont prises en compte. compte. Les paramètres du processus de génération empêchent le compilateur d'ajouter des informations de service non permanentes, telles que des valeurs aléatoires, des liens vers des chemins de fichiers et des informations sur la date et l'heure de génération.
Versions actuellement reproductibles pour 84.1% des packages du référentiel principal Arch Linux, 83.8% du référentiel extras et 76.9% du référentiel communautaire. À titre de comparaison dans Debian 10, ce chiffre 94.1%. Les builds répétables sont un élément de sécurité important, car ils donnent à tout utilisateur la possibilité de s'assurer que les builds de packages octet par octet proposés par la distribution correspondent aux assemblys compilés personnellement à partir du code source. Sans la possibilité de vérifier l’identité d’un assembly binaire, l’utilisateur ne peut que faire aveuglément confiance à l’infrastructure d’assemblage de quelqu’un d’autre, où la compromission du compilateur ou des outils d’assemblage peut conduire à la substitution de signets cachés.
Source: opennet.ru