narzędzia , co pozwala na zorganizowanie niezależnej weryfikacji dystrybucyjnych pakietów binarnych poprzez wdrożenie działającego w sposób ciągły procesu asemblera, który sprawdza pobrane pakiety z pakietami uzyskanymi w wyniku przebudowy na systemie lokalnym. Zestaw narzędzi jest napisany w języku Rust i jest rozpowszechniany na licencji GPLv3.
Obecnie w narzędziu do przebudowy dostępna jest jedynie eksperymentalna obsługa weryfikacji pakietów z Arch Linux, ale obiecują wkrótce dodać obsługę Debiana. W najprostszym przypadku uruchom Rebuilder zainstaluj pakiet Builder ze standardowego repozytorium, zaimportuj klucz GPG, aby sprawdzić środowisko i aktywuj odpowiednią usługę systemową. Możliwe jest wdrożenie sieci z kilku instancji programu Rebuilder.
Usługa monitoruje stan indeksu pakietów i automatycznie rozpoczyna odbudowę nowych pakietów w środowisku referencyjnym, którego stan jest synchronizowany z ustawieniami głównego środowiska kompilacji Arch Linux. Podczas przebudowy brane są pod uwagę takie niuanse, jak dokładne dopasowanie zależności, użycie tego samego składu i wersji narzędzi asemblera, identyczny zestaw opcji i ustawień domyślnych oraz zachowanie kolejności montażu plików (użycie tych samych metod sortowania). konto. Ustawienia procesu kompilacji uniemożliwiają kompilatorowi dodawanie nietrwałych informacji o usłudze, takich jak wartości losowe, łącza do ścieżek plików oraz dane dotyczące daty i godziny kompilacji.
Obecnie powtarzalne kompilacje dla 84.1% pakietów z repozytorium rdzenia Arch Linux, 83.8% z repozytorium dodatków i 76.9% z repozytorium społeczności. Dla porównania w Debianie 10 jest to rysunek 94.1%. Powtarzalne kompilacje są ważnym elementem bezpieczeństwa, ponieważ dają każdemu użytkownikowi możliwość upewnienia się, że oferowane przez dystrybucję kompilacje pakietów bajt po bajcie odpowiadają zestawom skompilowanym osobiście z kodu źródłowego. Bez możliwości sprawdzenia tożsamości zestawu binarnego użytkownik może jedynie ślepo ufać infrastrukturze asemblera innej osoby, gdzie naruszenie kompilatora lub narzędzi asemblera może prowadzić do podmiany ukrytych zakładek.
Źródło: opennet.ru