The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Инициатива по обеспечению повторяемых сборок Arch Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Инициатива по обеспечению повторяемых сборок Arch Linux"  +/
Сообщение от opennews (ok) on 02-Дек-17, 10:59 
Разработчики Arch Linux рассказали (http://vdwaa.nl/arch/linux/reproducible/builds/security/repr.../) о состоянии проекта по обеспечению повторяемых сборок, которые позволяют убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений.


В настоящее время повторяемые сборки обеспечены (https://tests.reproducible-builds.org/archlinux/archlinux.html) для 77% из протестированных 17% пакетов (для сравнения в Debian 9 этот показатель составляет (https://tests.reproducible-builds.org/debian/reproducible.html) 94.1%). Для pacman подготовлен набор патчей с реализацией режима повторяемых сборок, которые намечены для включения в состав одного из следующих стабильных релизов. Началась работа по созданию инфраструктуры для сопровождения повторяемых сборок.

Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), исключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.

URL: http://vdwaa.nl/arch/linux/reproducible/builds/security/repr.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47665

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –17 +/
Сообщение от Michael Shigorin email(ok) on 02-Дек-17, 10:59 
> Для обеспечения повторяемых сборок требуется

...уметь собирать в чруте, для самого-самого начала.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +4 +/
Сообщение от Vasya (??) on 02-Дек-17, 12:02 
вот так https://wiki.archlinux.org/index.php/DeveloperWiki:Building_... ?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +3 +/
Сообщение от pavlinux (ok) on 02-Дек-17, 22:03 
Угу, только ещё надо повторить повторяемость chroot
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –3 +/
Сообщение от Аноним (??) on 02-Дек-17, 12:48 
А чем сборка в chroot принципиально отличается от сборки в основной системе, кроме того, что корень другой? Я хотел сказать: а что там уметь\не уметь то?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –3 +/
Сообщение от Andrey Mitrofanov on 02-Дек-17, 13:21 
> А чем сборка в chroot принципиально отличается от сборки в основной системе,
> кроме того, что корень другой? Я хотел сказать: а что там
> уметь\не уметь то?

Первая ссылка по https://duckduckgo.com/?q=why+build+in+chroot
неожиданно - https://wiki.archlinux.org/index.php/DeveloperWiki:Building_...
, но и другие посмотри.

Если мало будет, вот https://nixos.org/~eelco/pubs/phd-thesis.pdf
, например, PhD thesis на 280 страниц -- для углублённого ... изучения.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –2 +/
Сообщение от Аноним (??) on 02-Дек-17, 15:01 
Не понимаю что неожиданного. Я собираю софт в chroot, ничего отличающегося от основной системы не вижу. Просто кто-то любит себе сложности создавать.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +3 +/
Сообщение от Andrey Mitrofanov on 02-Дек-17, 15:33 
>Не понимаю

Это было заметно и в первый раз http://www.opennet.me/openforum/vsluhforumID3/112875.html#149
Не повторяйтесь больше.

>Я собираю
>ничего отличающегося от основной системы не вижу.
>Просто кто-то любит себе сложности создавать.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –2 +/
Сообщение от Аноним (??) on 02-Дек-17, 16:09 
> Это было заметно и в первый раз https://www.opennet.me/openforum/vsluhforumID3/112875.html#149

И что? Какое-то случайное сообщение на форуме где дочерта анонимов. Похоже на то, что вы просто не умеете спорить и пытаетесь запудрить мне мозги. Не надо так.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +4 +/
Сообщение от Петр А on 03-Дек-17, 11:40 
>> Не понимаю

И не надо.
Это не для тебя.
Ты же не жаришь шаурму? И это нормально. Это просто далеко от тебя, эта шаурма.
Точно так же ты не делаешь ногтевого дизайна или стрижек на дому.
и ТОЧНО ТАК ЖЕ — ты «не понимаешь».
Понимать тебе это так же не нужно, как красить бордюры.
Не твоё.
Иди на холодные звонки.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

43. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +1 +/
Сообщение от freehck email(ok) on 04-Дек-17, 16:16 
> Не понимаю что неожиданного. Я собираю софт в chroot, ничего отличающегося от основной системы не вижу. Просто кто-то любит себе сложности создавать.

Мда. Со скриптами ./configure вы не сталкивались? Когда вам в зависимости от найденных библиотек, разные сборочные параметры выставляются?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

5. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +/
Сообщение от Andrey Mitrofanov on 02-Дек-17, 13:28 
> А чем сборка в chroot принципиально отличается от

Кстати, эти люди https://reproducible-builds.org/ также отключают бильдерам сеть, меняют хостнеймы, локали...  кажется.

+ https://reproducible-builds.org/#how

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –1 +/
Сообщение от Аноним (??) on 02-Дек-17, 15:03 
> также отключают бильдерам сеть, меняют хостнеймы, локали

И? Это так сложно сделать на любом *NIX? 2.5 конфинга исправить, тоже мне сложность. Скрипт один раз написать и развёртывать chroot где угодно. Кто-то определённо любит сложности.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +1 +/
Сообщение от Аноним (??) on 02-Дек-17, 15:06 
> + https://reproducible-builds.org/#how

Половина документа там, кстати, бла-бла-бла. Болтовня не по делу.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +/
Сообщение от Andrey Mitrofanov on 02-Дек-17, 15:37 
> Половина документа там, кстати, бла-бла-бла. Болтовня не по делу.

А "Не понимаю "  -- ты забыл написать в начале
http://www.opennet.me/openforum/vsluhforumID3/112906.html#10
или просто пртьлмился?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –2 +/
Сообщение от Аноним (??) on 02-Дек-17, 16:11 
А по делу написать ничего не можете? Так я и знал, ещё один любитель поболтать. Разговор окончен. И, да, тролль из вас так себе -- не особо плохо, но и до отлично не дотягиваете.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

42. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +/
Сообщение от vz on 04-Дек-17, 16:15 
соберут во flatpack, appimage, snap и GNU/Linux превратится в мусор
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –6 +/
Сообщение от Домохозяйка Анонима on 02-Дек-17, 13:41 
"Those who do not understand NixOS are condemned to reinvent it, poorly."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +4 +/
Сообщение от Andrey Mitrofanov on 02-Дек-17, 14:00 
> "Those who do not understand NixOS are condemned to reinvent it, poorly."

У них |nix гы| тоже не 100% reproducible.  Так что, в общем-то, мимо.

И да,
reproducible system configurations != reproducible package builds.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –1 +/
Сообщение от edolstra on 02-Дек-17, 15:49 
Nix делает всё необходимое со стороны дистрибутива. Остальное - косяки апстрима, хотя и их патчат.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +2 +/
Сообщение от Andrey Mitrofanov on 02-Дек-17, 16:02 
> Nix делает всё необходимое со стороны дистрибутива. Остальное - косяки апстрима, хотя
> и их патчат.

то же самое "всё" делают и кууучи других дистрибутивом. что так "выгодно" отличает ваш nixos, чтобы удостоить его _отдельного) цпоминания?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –1 +/
Сообщение от Мамин Сибиряк on 02-Дек-17, 16:56 
В других дистрибутивах сборка в воспроизводимом окружении - внештатный режим, прикрученный сбоку проволокой и отключенный по дефолту. Потому что для сборки каждого пакета в чруте надо с нуля создать новое окружение, распаковать туда все зависимости, это занимает кучу времени. В Nix этого делать не нужно, воспроизводимость достигается засчёт контентно-адресуемого nix store. В качестве идентификатора пакета используется не произвольное имя-версия, а хэш от сборочного рецепта и всех зависимостей. Примерно как хэш коммита в гите, только этот хэш известен ещё до сборки пакета. Это позволяет очень легко организовать кэширование, распределённую сборку из коробки, иметь сколько угодно версий одного и того же пакета без конфликтов, создавать легковесные контейнеры и делать кучу других хороших вещей, которые в других дистрибутивах делаются сложно и дорого.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –2 +/
Сообщение от Домохозяйка Анонима on 02-Дек-17, 17:13 
Главный плюс забыл. Кроме всего прочего, подход NixOS даёт воспроизводимую декларативную конфигурацию. Скопировал /etc/nixos/configuration.nix на новый сервак, запустил nixos-rebuild и получил идентичную систему. В конторе сейчас юзаем NixOS для виртуалок со всякой веб-мелочью и для билд серверов от гитлаба. После ansible даже непривычно, что всё работает и не ломается, лол.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

48. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +/
Сообщение от Michael Shigorin email(ok) on 06-Дек-17, 23:57 
> В других дистрибутивах сборка в воспроизводимом окружении -
> внештатный режим, прикрученный сбоку проволокой и отключенный
> по дефолту. Потому что для сборки каждого пакета в чруте надо
> с нуля создать новое окружение, распаковать туда все зависимости,
> это занимает кучу времени. В Nix этого делать не нужно

Н-да, вот уж появления никсоламеров я как-то не ожидал увидеть.

Любезнейший, ну почитайте хоть немножко про всякие pbuilder и hasher, а потом осознайте тот простой факт, что в альте эта самая "куча времени" тратится уже больше десятилетия на каждый попадающий в репозиторий пакет.  И это не считая других вещей, до осознания существования и осмысленности которых "оптимистам", соответственно, ещё дальше.

PS: хотя закралось подозрение, что Вы не поняли и #43, и то, что от смены методов адресации _источников_ сборочная среда строго заданного вида не самоорганизуется.

> только этот хэш известен ещё до сборки пакета

...что лишь ужесточает требования к пресловутой воспроизводимости для возможности опираться на хэш исходников, а не бинарников, если уж сами даже этого не понимаете.  И это ужесточение никак её не помогает обеспечить per se, если это самое опирание дальше по пути некритично.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +5 +/
Сообщение от pavlinux (ok) on 02-Дек-17, 22:00 
О, я-я-я, хаки из детства. Замени jnz на nop и обнови mtime/ctime/atime!!!  Ломали мы таких неповторяемых.    
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –1 +/
Сообщение от ыы on 03-Дек-17, 09:25 
>Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов.

Надеюсь это делается произвольным компилятором включая кросскомпиляторы?
Иначе   - все это мертвому припарки, потому что в компиляторе может быть закладка.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +/
Сообщение от пох on 03-Дек-17, 14:05 
> Иначе   - все это мертвому припарки, потому что в компиляторе может быть закладка.

а они Ритчи не читали.
закладка в данном случае может быть прямо в cmp, незачем даже возиться с компилятором - все равно код никто не проверяет ;-)

количество ресурсов планеты, переводимых впустую на ненужное ненужно, увы, ужасает. :-(

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

37. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +/
Сообщение от 0x0 on 03-Дек-17, 22:22 
Такую инициативу можно разве что сравнить с полётом в соседний магазин за хлебом с пересадкой где-то во Франкфурте :))

Достоверность исполняшек ‒ дело нужное и полезное, но при локальной пересборке каждого требуемого .deb-ИЛа, в случае неповторяемости хоть одного из них, как потом ты прописяешь, это у тебя закладка, руткит или троян или на дистро-серваке? :)))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –2 +/
Сообщение от Адекват (ok) on 04-Дек-17, 07:13 
Перевожу на юзерский:
"В скором времени пользователи ArchLinux будут ВЫНУЖДЕННЫ сами собирать свои пакеты, и разруливать все зависимости."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +1 +/
Сообщение от Аноним (??) on 04-Дек-17, 09:40 
>и разруливать все зависимости

<подозрительно> А ты точно адекват?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –1 +/
Сообщение от 0x0 on 04-Дек-17, 15:23 
Лично я понял так, что пакеты будут собираться локально только для того, чтоб удостовериться в том, что те, которые находятся в репозитории и будут установлены ничем и никем не модифицированы :))
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Инициатива по обеспечению повторяемых сборок Arch Linux"  –2 +/
Сообщение от Аноним (??) on 04-Дек-17, 11:29 
>Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов.

Если дистр source based, то лучше принципиально все пакеты собирать самому и не ставить никаких бинарных.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Инициатива по обеспечению повторяемых сборок Arch Linux"  +1 +/
Сообщение от vz on 04-Дек-17, 16:19 
И что, в исходнике нет закладки?
Кто проверял?
Майнтейнер проверен на детекторе лжи, гипнозом и т.д.?
Может он сотрудник аутсорса АНБ, как Сноуден, но без совести?

Есть ли безопасные системы?
Параноя?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру