ProHoster > Блог > Новини інтернету > Доступний rebuilderd для незалежної верифікації Arch Linux за допомогою повторюваних збірок

Доступний rebuilderd для незалежної верифікації Arch Linux за допомогою повторюваних збірок

представлений інструментарій rebuilderd, що дозволяє організувати незалежну перевірку бінарних пакетів дистрибутива через розгортання безперервно працюючого складального процесу, що звіряє пакети, що завантажуються з пакетами, одержуваними в результаті перескладання на локальній системі. Інструментарій написаний мовою Rust та поширюється під ліцензією GPLv3.

В даний час у rebuilderd доступна лише експериментальна підтримка верифікації пакетів з Arch Linux, але незабаром обіцяють додати підтримку Debian. У найпростішому випадку для запуску rebuilderd досить встановити пакет rebuilderd зі штатного репозиторію, імпортувати GPG-ключ для перевірки оточення та активувати відповідний системний сервіс. Можливе розгортання мережі з кількох екземплярів rebuilderd.

Сервіс відстежує стан індексу пакетів і автоматично запускає перескладання нових пакетів в еталонному оточенні, стан якого синхронізовано з налаштуваннями основного складального оточення Arch Linux. Під час перескладання враховуються такі нюанси, як точна відповідність залежностей, використання незмінного складу та версій складального інструментарію, ідентичний набір опцій та налаштувань за умовчанням, збереження порядку складання файлів (застосування тих самих методів сортування). Налаштування процесу складання виключають додавання компілятором непостійної службової інформації, такої як випадкові значення, посилання на файлові шляхи та дані про дату та час складання.

В даний час повторювані зборки забезпечено для 84.1% пакетів з core-репозиторію Arch Linux, 83.8% з репозиторію extras та 76.9% з репозиторію community. Для порівняння в Debian 10 цей показник становить 94.1%. Складання, що повторюються, є важливою ланкою забезпечення безпеки, так як дають будь-якому користувачеві можливість переконатися в тому, що пропоновані дистрибутивом складання пакетів байт в байт збігаються зі збірками, зібраними особисто з вихідних текстів. Без можливості перевірити тотожність бінарної збірки користувачеві залишається лише сліпо довіряти чужій складальній інфраструктурі, компрометація компілятора або складального інструментарію, в якій може призвести до встановлення прихованих закладок.

Джерело: opennet.ru

Додати коментар або відгук