hulpmiddelen , wat onafhankelijke verificatie van binaire pakketten van een distributie mogelijk maakt door een continu lopend buildproces te implementeren dat gedownloade pakketten vergelijkt met pakketten die zijn verkregen door herbouw op het lokale systeem. De toolkit is geschreven in Rust en wordt gedistribueerd onder de GPLv3-licentie.
Momenteel is er in rebuilderd alleen experimentele ondersteuning beschikbaar voor het verifiëren van Arch-pakketten. Linuxmaar ze beloven binnenkort ondersteuning toe te voegen. DebianIn het eenvoudigste geval, om rebuilded uit te voeren Installeer het rebuilderd-pakket vanuit de standaardrepository, importeer de GPG-sleutel om de omgeving te controleren en activeer de bijbehorende systeemservice. Het is mogelijk om een netwerk van meerdere rebuilderd-instanties te implementeren.
De service bewaakt de status van de pakketindex en start automatisch met het opnieuw compileren van nieuwe pakketten in een referentieomgeving, waarvan de status gesynchroniseerd is met de instellingen van de hoofd-Arch-buildomgeving. LinuxTijdens het herbouwen wordt rekening gehouden met nuances zoals nauwkeurige afstemming van afhankelijkheden, het gebruik van dezelfde buildtools en -versies, een identieke set standaardopties en -instellingen, en het behoud van de bouwvolgorde (met behulp van dezelfde sorteermethoden). Instellingen voor het bouwproces voorkomen dat de compiler vluchtige service-informatie toevoegt, zoals willekeurige waarden, verwijzingen naar bestandspaden en datum- en tijdsgegevens van de build.
Momenteel herhaalbare builds voor 84.1% van de pakketten uit de Arch core repository Linux83.8% komt uit de extras-repository en 76.9% uit de community-repository. Ter vergelijking: in Debian 10 deze indicator 94.1%. Herhaalbare builds vormen een belangrijke schakel in het waarborgen van de beveiliging, omdat ze elke gebruiker de mogelijkheid bieden om te verifiëren dat de pakketbuilds die door de distributie worden aangeboden, byte voor byte identiek zijn aan de builds die zelf vanuit de broncode zijn gecompileerd. Zonder de mogelijkheid om de identiteit van de binaire build te verifiëren, kan de gebruiker slechts blindelings vertrouwen op de build-infrastructuur van iemand anders, waarbij een inbreuk op de compiler of buildtools kan leiden tot de vervanging van verborgen achterdeurtjes.
Bron: opennet.ru
