工具 ,它允许您通过部署连续运行的构建过程来组织对发行版二进制包的独立检查,该过程将下载的包与在本地系统上重建所获得的包进行检查。 该工具包是用 Rust 编写的,并根据 GPLv3 许可证分发。
目前,rebuilderd 中仅提供对 Arch Linux 包验证的实验性支持,但他们承诺很快会添加对 Debian 的支持。 在最简单的情况下,运行rebuilderd 从常规仓库安装rebuilderd包,导入GPG密钥检查环境并激活相应的系统服务。 可以部署多个重建器实例的网络。
该服务监视包索引的状态,并自动开始在参考环境中重建新包,其状态与主 Arch Linux 构建环境的设置同步。 重建时,会考虑依赖项的精确匹配、使用相同的组合和版本的组装工具包、相同的选项集和默认设置、保留文件组装顺序(使用相同的排序方法)等细微差别考虑到。 构建过程设置阻止编译器添加非永久服务信息,例如随机值、对文件路径的引用以及构建日期和时间数据。
当前可重复构建 84.1% 的软件包来自核心 Arch Linux 存储库,83.8% 来自 extras 存储库,76.9% 来自社区存储库。 作为比较,在 Debian 10 中该指标 94.1%。 可重复构建是一项重要的安全功能,因为它们使任何用户都有机会确保逐字节包分发提供的构建与个人从源代码构建的构建相匹配。 如果无法检查二进制程序集的身份,用户只能盲目地信任其他人的程序集基础设施,从而损害编译器或汇编工具,从而导致隐藏书签的替换。
来源: opennet.ru