mga kasangkapan , na nagpapahintulot sa iyo na ayusin ang independiyenteng pag-verify ng mga binary na pakete ng pamamahagi sa pamamagitan ng pag-deploy ng isang patuloy na tumatakbong proseso ng pagpupulong na nagsusuri ng mga na-download na pakete na may mga pakete na nakuha bilang resulta ng muling pagtatayo sa lokal na sistema. Ang toolkit ay nakasulat sa Rust at ipinamamahagi sa ilalim ng lisensya ng GPLv3.
Sa kasalukuyan, tanging pang-eksperimentong suporta para sa pag-verify ng package mula sa Arch Linux ang available sa rebuilderd, ngunit nangangako silang magdagdag ng suporta para sa Debian sa lalong madaling panahon. Sa pinakasimpleng kaso, upang patakbuhin ang rebuilderd i-install ang rebuilderd package mula sa karaniwang repository, i-import ang GPG key upang suriin ang kapaligiran at i-activate ang kaukulang serbisyo ng system. Posibleng mag-deploy ng network mula sa ilang pagkakataon ng rebuilderd.
Sinusubaybayan ng serbisyo ang estado ng index ng package at awtomatikong magsisimulang muling buuin ang mga bagong pakete sa reference na kapaligiran, ang estado kung saan ay naka-synchronize sa mga setting ng pangunahing Arch Linux build environment. Sa muling pagtatayo, ang mga nuances tulad ng eksaktong pagtutugma ng mga dependency, paggamit ng parehong komposisyon at mga bersyon ng mga tool sa pagpupulong, isang magkaparehong hanay ng mga opsyon at default na setting, at pagpapanatili ng pagkakasunud-sunod ng pagpupulong ng file (paggamit ng parehong mga paraan ng pag-uuri) ay isinasaalang-alang. account. Pinipigilan ng mga setting ng proseso ng build ang compiler na magdagdag ng hindi permanenteng impormasyon ng serbisyo, tulad ng mga random na halaga, mga link sa mga path ng file, at data ng petsa at oras ng build.
Kasalukuyang nauulit na mga build para sa 84.1% ng mga pakete mula sa Arch Linux core repository, 83.8% mula sa extras repository at 76.9% mula sa community repository. Para sa paghahambing sa Debian 10 ang figure na ito 94.1%. Ang mga paulit-ulit na build ay isang mahalagang elemento ng seguridad, dahil binibigyan ng mga ito ang sinumang user ng pagkakataong tiyakin na ang byte-by-byte na package na binuo na inaalok ng pamamahagi ay tumutugma sa mga assemblies na personal na pinagsama-sama mula sa source code. Kung walang kakayahang i-verify ang pagkakakilanlan ng isang binary assembly, ang user ay maaari lamang magtiwala sa imprastraktura ng pagpupulong ng ibang tao, kung saan ang pagkompromiso sa compiler o mga tool sa pagpupulong ay maaaring humantong sa pagpapalit ng mga nakatagong bookmark.
Pinagmulan: opennet.ru