工具 ,它允许您通过部署连续运行的构建过程来组织对发行版二进制包的独立检查,该过程将下载的包与在本地系统上重建所获得的包进行检查。 该工具包是用 Rust 编写的,并根据 GPLv3 许可证分发。
目前,rebuilderd 仅提供对验证 Arch 软件包的实验性支持。 Linux但他们承诺很快会增加支持。 Debian最简单的情况是运行 rebuilderd 从常规仓库安装rebuilderd包,导入GPG密钥检查环境并激活相应的系统服务。 可以部署多个重建器实例的网络。
该服务监控软件包索引的状态,并在参考环境中自动开始重建新软件包,该参考环境的状态与主 Arch 构建环境的设置同步。 Linux在重新构建过程中,会考虑诸多细节,例如精确的依赖关系匹配、使用相同的构建工具和版本、相同的默认选项和设置,以及保持构建顺序(使用相同的排序方法)。构建过程设置会阻止编译器添加易失性服务信息,例如随机值、文件路径引用以及构建日期和时间数据。
当前可重复构建 Arch 核心仓库中 84.1% 的软件包都存在这个问题。 Linux其中 83.8% 来自 extras 仓库,76.9% 来自社区仓库。作为比较,在 Debian 10 这个指标 94.1%。 可重复构建是一项重要的安全功能,因为它们使任何用户都有机会确保逐字节包分发提供的构建与个人从源代码构建的构建相匹配。 如果无法检查二进制程序集的身份,用户只能盲目地信任其他人的程序集基础设施,从而损害编译器或汇编工具,从而导致隐藏书签的替换。
来源: opennet.ru
