forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проблема проверки тождественности исходных текстов и бинарны..."
Отправлено opennews, 21-Июн-13 23:14

Один из разработчиков KDE попытался (http://blogs.kde.org/2013/06/19/really-source-code-software) проанализировать насколько реально воссоздать бинарный файл, идентичный распространяемым готовым сборкам, при наличии полных исходных текстов, на основе которых были произведена сборка. Таким образом была оценена возможность проверки собран ли представленный исполняемый файл из указанных исходных текстов и содержит ли то, что заявлено создателями сборки.

В качестве эксперимента было произведено сравнение исполняемых файлов, поставляемых в составе дистрибутивов Debian, Fedora и openSUSE, с исполняемым файлом, собранным из доступных пакетов с исходными текстами. Для теста выбран пакет с утилитой tar. В теории, зная все параметры сборки и версии используемых при сборке компонентов, можно воссоздать исходное сборочное окружение, сборка пакета с исходными текстами в котором должна привести к получению тождественных исполняемых файлов. На практике всё оказалось не так просто, при каждой сборке получались разные исполняемые файлы. Основное причиной различий является сохранение в исполняемом файле данных, связанных со временем сборки.

При оценки пересборки пакетов Debian результаты полностью оправдали предположения - различие составило 20 байт, и в этих байтах содержалась дата сборки. Для openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить причину значительных различий. В качестве наиболее вероятной гипотезы отмечаются возможные отличия в сформированной для тестирования сборочной среде - для сборки использовалась текущая версия тестируемого дистрибутива, но не факт, что аналогичное окружение были использовано разработчиками, а даже при незначительных изменениях используемого инструментария результат меняется кардинально.

Полученные результаты свидетельствуют, что при распространении бинарных сборок недостаточно открывать доступ к коду под свободными лицензиями. Без приведения точной спецификации сборочной среды невозможно проверить на основе представленных исходных текстов собрано приложение или в нём использованы какие-либо модификации. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять выполнившему сборку сервису.

Примечательно, что ни одна свободная лицензия не учитывает данное обстоятельство не требует указания точных параметров сборочного инструментария при публикации бинарных версий. В качестве одного из способов решения проблемы называется включение в состав исполняемого файла информации о компонентах окружения, в котором была произведена сборка.

URL: http://blogs.kde.org/2013/06/19/really-source-code-software
Новость: http://www.opennet.me/opennews/art.shtml?num=37246

Исходное сообщение
"Проблема проверки тождественности исходных текстов и бинарны..." Отправлено opennews, 21-Июн-13 23:14
Один из разработчиков KDE попытался (http://blogs.kde.org/2013/06/19/really-source-code-software) проанализировать насколько реально воссоздать бинарный файл, идентичный распространяемым готовым сборкам, при наличии полных исходных текстов, на основе которых были произведена сборка. Таким образом была оценена возможность проверки собран ли представленный исполняемый файл из указанных исходных текстов и содержит ли то, что заявлено создателями сборки. В качестве эксперимента было произведено сравнение исполняемых файлов, поставляемых в составе дистрибутивов Debian, Fedora и openSUSE, с исполняемым файлом, собранным из доступных пакетов с исходными текстами. Для теста выбран пакет с утилитой tar. В теории, зная все параметры сборки и версии используемых при сборке компонентов, можно воссоздать исходное сборочное окружение, сборка пакета с исходными текстами в котором должна привести к получению тождественных исполняемых файлов. На практике всё оказалось не так просто, при каждой сборке получались разные исполняемые файлы. Основное причиной различий является сохранение в исполняемом файле данных, связанных со временем сборки. При оценки пересборки пакетов Debian результаты полностью оправдали предположения - различие составило 20 байт, и в этих байтах содержалась дата сборки. Для openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить причину значительных различий. В качестве наиболее вероятной гипотезы отмечаются возможные отличия в сформированной для тестирования сборочной среде - для сборки использовалась текущая версия тестируемого дистрибутива, но не факт, что аналогичное окружение были использовано разработчиками, а даже при незначительных изменениях используемого инструментария результат меняется кардинально. Полученные результаты свидетельствуют, что при распространении бинарных сборок недостаточно открывать доступ к коду под свободными лицензиями. Без приведения точной спецификации сборочной среды невозможно проверить на основе представленных исходных текстов собрано приложение или в нём использованы какие-либо модификации. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять выполнившему сборку сервису. Примечательно, что ни одна свободная лицензия не учитывает данное обстоятельство не требует указания точных параметров сборочного инструментария при публикации бинарных версий. В качестве одного из способов решения проблемы называется включение в состав исполняемого файла информации о компонентах окружения, в котором была произведена сборка. URL: http://blogs.kde.org/2013/06/19/really-source-code-software Новость: http://www.opennet.me/opennews/art.shtml?num=37246

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Один из разработчиков KDE попытался (http://blogs.kde.org/2013/06/19/really-source-code-software) 
> проанализировать насколько реально воссоздать бинарный файл, идентичный распространяемым 
> готовым сборкам, при наличии полных исходных текстов, на основе которых были 
> произведена сборка. Таким образом была оценена возможность проверки собран ли представленный 
> исполняемый файл из указанных исходных текстов и содержит ли то, что 
> заявлено создателями сборки.

> В качестве эксперимента было произведено сравнение исполняемых файлов, поставляемых в 
> составе дистрибутивов Debian, Fedora и openSUSE, с исполняемым файлом, собранным из 
> доступных пакетов с исходными текстами. Для теста выбран пакет с утилитой 
> tar. В теории, зная все параметры сборки и версии используемых при 
> сборке компонентов, можно воссоздать исходное сборочное окружение, сборка пакета с исходными 
> текстами в котором должна привести к получению тождественных исполняемых файлов. На 
> практике всё оказалось не так просто, при каждой сборке получались разные 
> исполняемые файлы. Основное причиной различий является сохранение в исполняемом файле 
> данных, связанных со временем сборки.

> При оценки пересборки пакетов Debian результаты полностью оправдали предположения -  различие 
> составило 20 байт, и в этих байтах содержалась дата сборки. Для 
> openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить 
> причину значительных различий. В качестве наиболее вероятной гипотезы отмечаются возможные 
> отличия в сформированной для тестирования сборочной среде - для сборки использовалась 
> текущая версия тестируемого дистрибутива, но не факт, что аналогичное окружение были 
> использовано разработчиками, а даже при незначительных изменениях используемого инструментария 
> результат меняется кардинально.

> Полученные результаты свидетельствуют, что при распространении бинарных сборок недостаточно 
> открывать доступ к коду под свободными лицензиями. Без приведения точной спецификации 
> сборочной среды невозможно проверить на основе представленных исходных текстов собрано 
> приложение или в нём использованы какие-либо модификации. Без возможности проверить тождественность 
> бинарной сборки пользователю остаётся лишь слепо доверять выполнившему  сборку сервису.

> Примечательно, что ни одна свободная лицензия не учитывает данное обстоятельство не требует 
> указания точных параметров сборочного инструментария при публикации бинарных версий. 
> В качестве одного из способов решения проблемы называется включение в состав 
> исполняемого файла информации о компонентах окружения, в котором была произведена сборка.

> URL: http://blogs.kde.org/2013/06/19/really-source-code-software 
> Новость: http://www.opennet.me/opennews/art.shtml?num=37246

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру