peralatan , yang memungkinkan Anda mengatur verifikasi independen paket biner distribusi melalui penerapan proses perakitan yang terus berjalan yang memeriksa paket yang diunduh dengan paket yang diperoleh sebagai hasil pembangunan kembali pada sistem lokal. Toolkit ini ditulis dalam Rust dan didistribusikan di bawah lisensi GPLv3.
Saat ini, hanya dukungan eksperimental untuk verifikasi paket dari Arch Linux yang tersedia dalam pembangunan kembali, tetapi mereka berjanji untuk segera menambahkan dukungan untuk Debian. Dalam kasus paling sederhana, untuk menjalankan pembangunan kembali instal paket pembangunan kembali dari repositori standar, impor kunci GPG untuk memeriksa lingkungan dan mengaktifkan layanan sistem yang sesuai. Dimungkinkan untuk menyebarkan jaringan dari beberapa contoh pembangunan kembali.
Layanan memantau status indeks paket dan secara otomatis mulai membangun kembali paket baru di lingkungan referensi, yang statusnya disinkronkan dengan pengaturan lingkungan build utama Arch Linux. Saat membangun kembali, nuansa seperti pencocokan dependensi yang tepat, penggunaan komposisi dan versi alat perakitan yang sama, serangkaian opsi dan pengaturan default yang identik, dan pelestarian urutan perakitan file (penggunaan metode penyortiran yang sama) dipertimbangkan. akun. Pengaturan proses pembangunan mencegah kompiler menambahkan informasi layanan non-permanen, seperti nilai acak, tautan ke jalur file, dan informasi tanggal dan waktu pembangunan.
Bangunan yang dapat diulang saat ini untuk 84.1% paket dari repositori inti Arch Linux, 83.8% dari repositori tambahan, dan 76.9% dari repositori komunitas. Sebagai perbandingan di Debian 10 angka ini 94.1%. Build yang dapat diulang adalah elemen keamanan yang penting, karena memberikan kesempatan kepada pengguna mana pun untuk memastikan bahwa build paket byte demi byte yang ditawarkan oleh distribusi cocok dengan rakitan yang dikompilasi secara pribadi dari kode sumber. Tanpa kemampuan untuk memverifikasi identitas perakitan biner, pengguna hanya dapat mempercayai infrastruktur perakitan orang lain secara membabi buta, di mana kompromi terhadap kompiler atau alat perakitan dapat mengakibatkan penggantian bookmark tersembunyi.
Sumber: opennet.ru