Debianのリリースチームは、再現可能なパッケージ再構築が必須機能になったと発表しました。昨日、再現可能な再構築をサポートしない新規パッケージがリポジトリにプッシュされないように、ビルドシステムに変更が加えられました。また、テストリポジトリでは、ビルドの再現性に不具合が見つかった既存パッケージの更新も禁止されています。
36427個のソースパッケージを含むDebian 13では、再現可能なビルドのサポート率は、x86_64アーキテクチャで96.9%、ARM64アーキテクチャで96.8%です。Debian Testingリポジトリでは、37809個のソースパッケージを再構築した結果、再現可能なビルド率はARM64アーキテクチャで94.5%、x86_64で75.7%と推定されています。Debian Testingリポジトリでの再現可能なビルドテストでは、1141個のパッケージ(3%)が失敗し、7952個のパッケージ(21%)でソースからのコンパイルに一般的な問題が発生しました。
再現可能なビルドにより、ユーザーはダウンロード可能な既製ビルドと完全に同一のカスタムビルドを作成できます。ユーザーは、パッケージやブートイメージで配布されるバイナリが提供されたソースコードからビルドされており、隠された変更が含まれていないことを自ら確認できます。バイナリビルドの同一性を検証することで、ディストリビューションのビルドインフラストラクチャだけに頼る必要がなくなり、コンパイラやビルドツールセットの脆弱性によって隠されたバックドアが挿入されるリスクを回避できます。
繰り返し可能なアセンブリを形成する場合、依存関係の正確な一致などのニュアンスが考慮されます。アセンブリツールの変更されていない構成およびバージョンの使用。オプションとデフォルト設定の同一のセット。ファイルコレクションの順序を維持する(同じソート方法を使用)。ランダム値、ファイル パス参照、ビルド日時情報などの揮発性サービス情報をコンパイラが追加できないようにします。ビルドの再現性は、ツールチェーン内のバグや競合状態によっても影響を受けます。
出所: オープンネット.ru
