verktøy , som muliggjør uavhengig verifisering av distribusjonspakker med binærfiler ved å distribuere en kontinuerlig byggeprosess som sammenligner nedlastede pakker med de som er et resultat av en gjenoppbygging på det lokale systemet. Verktøysettet er skrevet i Rust og distribuert under GPLv3-lisensen.
For øyeblikket er det kun eksperimentell støtte for å verifisere Arch-pakker i rebuilderd. Linux, men de lover å legge til støtte snart DebianI det enkleste tilfellet, å kjøre rebuilderd Installer rebuilderd-pakken fra standarddepotet, importer GPG-nøkkelen for å bekrefte miljøet, og aktiver den tilhørende systemtjenesten. Flere rebuilderd-instanser kan distribueres i et nettverk.
Tjenesten overvåker tilstanden til pakkeindeksen og starter automatisk gjenoppbygging av nye pakker i et referansemiljø, hvis tilstand er synkronisert med innstillingene til Archs hovedbyggemiljø. LinuxUnder gjenoppbygging tas det hensyn til nyanser som presis avhengighetsmatching, bruk av de samme byggeverktøyene og -versjonene, et identisk sett med standardalternativer og -innstillinger, og bevaring av byggerekkefølgen (ved bruk av de samme sorteringsmetodene). Innstillinger for byggeprosessen hindrer kompilatoren i å legge til ustabil tjenesteinformasjon, for eksempel tilfeldige verdier, filbanereferanser og dato- og klokkeslettdata for bygging.
For øyeblikket repeterbare bygg for 84.1 % av pakkene fra Arch-kjernelageret Linux, 83.8 % fra ekstramaterialearkivet og 76.9 % fra fellesskapsarkivet. Til sammenligning, i Debian 10 denne indikatoren 94.1 %. Reproduserbare bygg er en viktig sikkerhetsfunksjon, ettersom de lar enhver bruker bekrefte at pakkebyggene som tilbys av distribusjonen er identiske byte-for-byte med byggene de personlig kompilerte fra kildekoden. Uten muligheten til å bekrefte identiteten til en binærbygg, stoler brukeren blindt på andres byggeinfrastruktur, der en kompromittert kompilator eller byggeverktøykjede kan føre til innsetting av skjulte bakdører.
Kilde: opennet.ru
