openSUSE тестирует поддержку повторяемых сборок

18.02.2025 22:17

Разработчики дистрибутива openSUSE сообщили об успехах проекта по обеспечению поддержки повторяемых сборок. В рамках проекта подготовлен концептуальный форк дистрибутива Reproducible-openSUSE (RBOS), для которого достигнута возможность сборки 100% идентичных бинарных пакетов на основе предлагаемого репозитория с исходными текстами, насчитывающего 3300 пакетов. В процессе работы над проектом подготовлено около 40 патчей (1, 2, 3), решающих проблемы с повторяемой пересборкой пакетов. Примерно половина из данных патчей уже передана в upstream-проекты. Сборки Reproducible-openSUSE пока рассчитаны только на тестирование и не рекомендованы для использования в рабочих системах, так как для них не формируются обновления с устранением уязвимостей.

Проект позволяют пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовым сборкам, чтобы убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Возможность проверить тождественность бинарной сборки даёт возможность не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62744-opensuse

Ключевые слова: opensuse

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.2, Аноним (2), 22:30, 18/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	–12 +/–
Хотят контролировать что юзеру можно запускать, а что нет.

2.3, A.Stahl (ok), 23:20, 18/02/2025 [^] [^^] [^^^] [ответить]	+8 +/–
Нет, хотят вместо картинки товара на упаковке, сделать стенку коробки прозначной чтобы пользователь мог сам посмотреть что внутри.

3.13, rerf2010rerf (ok), 06:41, 19/02/2025 [^] [^^] [^^^] [ответить]	–1 +/–
И что ты там увидишь? Будешь все эти 3300 сорцов читать?

4.16, Аноним (16), 08:06, 19/02/2025 [^] [^^] [^^^] [ответить]	+/–
Со времен когда Столлман хотел патчить драйвер принтера, сложность софта на столько увеличилась, что даже самый крутой хацкер не способен проводить аудит кода в одно лицо. Даже просто собрать Firefox не тривиальная задача.

5.22, Аноним (22), 09:50, 19/02/2025 [^] [^^] [^^^] [ответить]	+/–
Собрать Жырнолис? Это же очень просто, даже для последних хомяков. У тебя сложности с тулчейнами? Используй пребилженные тогда. Разве что сборка гцц требует всё больше патчей, но это ожидаемо сложный путь. Вот если ты захочешь разбандлить малварь в составе, что-нибудь обязательно посыпется. Тут вопросы к качеству зависимостей скорее. Просто начинай свой день с аудита свежесмерженных коммитов в используемых проектах, их всего-то около 1000 на среднем десктопе.

6.23, Аноним (22), 09:52, 19/02/2025 [^] [^^] [^^^] [ответить]	+/–
Разве что Хромоног исключение, никакой уровень артистизма тут не поможет. Но в большинстве проектов изменений минимум.

5.36, Аноним (36), 16:39, 20/02/2025 [^] [^^] [^^^] [ответить]	+/–
Так чем там дело-то кончилось, он его пропатчил? Или история успеха как у гнутого хурда получилась?

4.18, A.Stahl (ok), 08:11, 19/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
> И что ты там увидишь? Будешь все эти 3300 сорцов читать? Так код читать не нужно: берёшь исходники из "доверенного источника", собираешь их с дистрибутивными конфигами(а их уж можно и прочитать, там немного) и убеждаешься что твой и дистрибутивный бинарики совпадают. Значит дистр не подсунул тебе лажу.

5.24, User (??), 10:38, 19/02/2025 [^] [^^] [^^^] [ответить]	+/–
Можно даже не собирать - "тысячаглаз" код смотрит, "тысячаруков" до тебя уже собирают - намана все! Пацаны отвечают! :)

1.4, мяв (?), 23:22, 18/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
круто. молодцы suse, прям возраждение у них какое-то последнее время. хотя, в сущности-то.. просто копипаста с rh и слепое следование трендам, вроде селинукса или атомарщины, где systemd пакетником рулит.

1.5, Аноним (5), 23:43, 18/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Интересно. У Альта что ли подсмотрели. Там как раз концепция воспроизводимых сборок одна из ключевых вещей в сборочнице.

1.6, Аноня (?), 00:50, 19/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Я думал это давным давно у всех сделано. Кажется этим вопросом занимались ещё лет 10 назад.

1.7, Аноним (7), 01:20, 19/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вот что LFS животворящий делает.

1.8, Аноним (8), 02:17, 19/02/2025 [ответить] [﹢﹢﹢] [ · · · ]

–4 +/–

Какая-то невероятная глупость эти reproducible builds, непонятно, кто и зачем это вообще мог придумать.

Linux является source based операционной системой как раз потому, что каждая сборка уникальна и обладает своими плюсами, нужными для конкретного юзера на конкретной машине.

Вводя reproducible builds вы делаете взаимно однозначное соответствие между кодом и бинарником, а значит все плюсы от кода исчезают.

2.9, Аноним9000 (?), 03:53, 19/02/2025 [^] [^^] [^^^] [ответить]	+/–
Linux является source based системой? Какую долю рынка занимают source based линуксы? По-моему, ничтожную. Это удел отдельных энтузиастов. Для остальных же важны другие аспекты. Для бизнеса важна безопасность, ибо компрометация инфраструктуры дистрибутива может нанести непоправимые убытки бизнесу. И только reproducible builds могут дать гарантии отсутствия такой компрометации.

3.17, Аноним (8), 08:08, 19/02/2025 [^] [^^] [^^^] [ответить]	–3 +/–
Никакой гарантии reproducible builds не дают. Если нужны гарантии, то есть dm-verity, dm-integrity.

2.12, Аноним (12), 06:17, 19/02/2025 [^] [^^] [^^^] [ответить]	+/–
Вот допустим есть у тебя парк ПК в несколько сотен. Допусти решил ты перевести его на Linux. Как ты себе представляешь сборку из исходников для нескольких сотен, да хотя бы одной, единицы. И по твоей логике на каждом ПК оно будет уникальным.

3.15, Аноним (8), 08:06, 19/02/2025 [^] [^^] [^^^] [ответить]

+/–

Непонятно вообще при чём это тут.

Один раз собрал, через МЕ на все машины залил.

4.25, morphe (?), 10:54, 19/02/2025 [^] [^^] [^^^] [ответить]	+/–
И как тебе при таком сценарии воспроизводимые сборки мешают? Наоборот они тебе позволят нормально изначальную сборку по нескольким машинам распределить

2.21, Аноним (21), 09:45, 19/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
>Вводя reproducible builds вы делаете взаимно однозначное соответствие между кодом и бинарником Как доказательство отсутствия трояна

1.11, Аноним (-), 06:13, 19/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вопрос знатокам. Вы поробавли повторить сборку Slackware Linux? У Патрика есть в официальном репозитории каталог sources, и там появился сценарий сборки make_world.sh. Дерзайте господа, соберите Мир Патрика!

2.14, Аноним (8), 08:05, 19/02/2025 [^] [^^] [^^^] [ответить]

+/–

Да, пробовали.

Сначала nobodino собрал 14.2, https://github.com/nobodino/slackware-from-scratch

Потом Патрик перенял его наработки в make_world.

Но это не reproducible сборки, и Патрик вообще считает reproducible сборки глупость, на LQ есть тема про них.

3.33, Аноним (-), 15:18, 20/02/2025 [^] [^^] [^^^] [ответить]	+/–
>Патрик вообще считает reproducible сборки глупость, на LQ есть тема про них. А тут поподробнее пожалуйста. Почему он так считает? Он против чтобы собрали его дистрибутив при помощи запуска одного скрипта?

4.34, Аноним (8), 15:48, 20/02/2025 [^] [^^] [^^^] [ответить]	+/–
Это никак не связанные вещи вообще. Дистрибутив собирается одним скриптом, просто сборка не reproducible, собранная на вашей машине будет чуть более подходить для вашей машины, особенно там, где сборочные системы хотят march=native. Плюс, в файлах остаются такие метаданные как время сборки, хостнейм, на котором собран файл, и прочие вещи, упрощаюшие отладку иногда.

1.19, freehck (ok), 08:47, 19/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Что ж, поздравляем OpenSUSE с началом движения в правильную сторону: повторяемая сборка 3.3k пакетов -- это уже довольно немало, и ребята большие молодцы. Тем временем в Debian уже 36.5k src-пакетов успешно пересобираются повторяемым образом: https://tests.reproducible-builds.org/debian/unstable/index_suite_amd64_stats.

1.20, Аноним (21), 09:44, 19/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот так, с опозданием на кучу лет, в OpenSUSE появляется то, что уже давно есть в NixOS

1.26, Аноним (26), 10:56, 19/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Зачем вся эта команда если ось только 1,5 года поддерживают? Ее никто не ставит. Продлите суппорт на 5 лет - потом и поговорим.

2.31, Аноним (21), 12:58, 19/02/2025 [^] [^^] [^^^] [ответить]

+/–

>если ось только 1,5 года поддерживают?

В течении этого времени софт ещё может быть относительно свежим, при условии, что там не заморожены версии
>Продлите суппорт на 5 лет

Тогда нужно очень сильно уменьшать репозиторий, либо отказываться от заморозки. И условный lemp развернуть из родного репозитория будет нельзя. Иначе будет почти один EOL, зачастую без патчей безопасности.

3.35, Аноним (8), 15:49, 20/02/2025 [^] [^^] [^^^] [ответить]	+/–
>Тогда нужно очень сильно уменьшать репозиторий, либо отказываться от заморозки. Напиши уж честно, у суси недостаточная команда, чтобы тянуть полноценный дистрибутив.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: