ferramentas , que permite organizar uma verificação independente dos pacotes binários da distribuição implantando um processo de compilação em execução contínua que verifica os pacotes baixados com os pacotes obtidos como resultado da reconstrução no sistema local. O kit de ferramentas é escrito em Rust e distribuído sob a licença GPLv3.
Atualmente, apenas o suporte experimental para verificação de pacotes do Arch Linux está disponível no Rebuilderd, mas eles prometem adicionar suporte para o Debian em breve. No caso mais simples, para executar a reconstrução instale o pacote reconstruído do repositório regular, importe a chave GPG para verificar o ambiente e ative o serviço do sistema correspondente. É possível implantar uma rede de várias instâncias de reconstrução.
O serviço monitora o estado do índice do pacote e inicia automaticamente a reconstrução de novos pacotes no ambiente de referência, cujo estado é sincronizado com as configurações do ambiente de construção principal do Arch Linux. Ao reconstruir, nuances como a correspondência exata de dependências, o uso da mesma composição e versões do conjunto de ferramentas de montagem, o conjunto idêntico de opções e configurações padrão, a preservação da ordem de montagem do arquivo (usando os mesmos métodos de classificação) são tomadas em conta. As configurações do processo de compilação impedem que o compilador adicione informações de serviço não permanentes, como valores aleatórios, referências a caminhos de arquivo e dados de data e hora de compilação.
Compilações repetíveis atualmente para 84.1% dos pacotes do repositório principal do Arch Linux, 83.8% do repositório extras e 76.9% do repositório da comunidade. Para comparação, no Debian 10 este indicador 94.1%. Compilações repetíveis são um importante recurso de segurança, pois oferecem a qualquer usuário a oportunidade de garantir que as compilações oferecidas pela distribuição de pacotes byte a byte correspondam às compilações criadas pessoalmente a partir da fonte. Sem a capacidade de verificar a identidade de um assembly binário, o usuário só pode confiar cegamente na infraestrutura de assembly de outra pessoa, comprometendo o compilador ou as ferramentas de assembly que podem levar à substituição de marcadores ocultos.
Fonte: opennet.ru