ferramentas , que permite organizar a verificación independente dos paquetes binarios da distribución mediante a implantación dun proceso de montaxe en execución continua que verifica os paquetes descargados con paquetes obtidos como resultado da reconstrución no sistema local. O conxunto de ferramentas está escrito en Rust e distribúese baixo a licenza GPLv3.
Actualmente, só está dispoñible soporte experimental para a verificación de paquetes de Arch Linux en Rebuilderd, pero prometen engadir soporte para Debian en breve. No caso máis sinxelo, executar rebuilderd instale o paquete rebuilderd desde o repositorio estándar, importe a clave GPG para comprobar o ambiente e active o servizo do sistema correspondente. É posible implantar unha rede desde varias instancias de reconstrución.
O servizo supervisa o estado do índice de paquetes e comeza automaticamente a reconstruír novos paquetes no ambiente de referencia, cuxo estado está sincronizado coa configuración do entorno de compilación principal de Arch Linux. Ao reconstruír, téñense en conta matices como a correspondencia exacta das dependencias, o uso da mesma composición e versións das ferramentas de montaxe, un conxunto idéntico de opcións e configuracións predeterminadas e a conservación da orde de montaxe dos ficheiros (uso dos mesmos métodos de ordenación). conta. A configuración do proceso de compilación impide que o compilador engada información de servizo non permanente, como valores aleatorios, ligazóns a rutas de ficheiros e información de data e hora de compilación.
Compilacións repetibles actualmente para o 84.1% dos paquetes do repositorio principal de Arch Linux, o 83.8% do repositorio de extras e o 76.9% do repositorio da comunidade. Para comparación en Debian 10 esta figura 94.1 %. As compilacións repetibles son un elemento importante de seguridade, xa que ofrecen a calquera usuario a oportunidade de asegurarse de que as compilacións de paquetes byte a byte ofrecidas pola distribución coincidan cos conxuntos compilados persoalmente a partir do código fonte. Sen a capacidade de verificar a identidade dun conxunto binario, o usuario só pode confiar cegamente na infraestrutura de montaxe doutra persoa, onde comprometer o compilador ou as ferramentas de montaxe pode levar á substitución de marcadores ocultos.
Fonte: opennet.ru