工具 ,它允許透過部署連續運行的組裝過程來組織分發二進制包的獨立驗證,該過程檢查下載的包與在本地系統上重建所獲得的包。 該工具包是用 Rust 編寫的,並根據 GPLv3 許可證分發。
目前,rebuilderd 中僅提供對 Arch Linux 套件驗證的實驗性支持,但他們承諾很快就會添加對 Debian 的支援。 在最簡單的情況下,執行rebuilderd 從標準倉庫安裝rebuilderd包,導入GPG金鑰檢查環境並啟動對應的系統服務。 可以從多個重建實例部署網路。
此服務監視套件索引的狀態,並自動開始在參考環境中重建新套件,其狀態與主 Arch Linux 建置環境的設定同步。 重建時,會考慮依賴項的精確匹配、使用相同組成和版本的組裝工具、一組相同的選項和預設設定以及保留檔案組裝順序(使用相同的排序方法)等細微差別帳戶。 建置過程設定會阻止編譯器新增非永久服務訊息,例如隨機值、檔案路徑連結以及建置日期和時間資訊。
目前可重複構建 84.1% 的軟體套件來自 Arch Linux 核心儲存庫,83.8% 來自 extras 儲存庫,76.9% 來自社群儲存庫。 為了在 Debian 10 中進行比較,該圖 94.1%。 可重複建置是安全性的重要元素,因為它們使任何使用者都有機會確保發行版提供的逐字節包建置與從原始程式碼親自編譯的組件相符。 如果無法驗證二進位組件的身份,使用者只能盲目信任其他人的組件基礎設施,其中危害編譯器或彙編工具可能會導致隱藏書籤的替換。
來源: opennet.ru