https://www.opennet.ru/openforum/vsluhforumID3/117003.html Перевод статьи Людвика Курте от 29.03.2019, [[https://www.gnu.org/software/guix/blog/2019/connecting-reproducible-deployment-to-a-long-term-source-code-archive/ опубликованной]] в блоге Guix.<br><br>В статье рассказано как в дистрибутиве GNU Guix связать повторяемые сборки, позволяющие убедиться в тождественности бинарных файлов эталонным исходным текстам, с загрузкой исходных текстов из архива кода [[https://www.softwareheritage.org/ Software Heritage]]. Software Heritage ставит перед собой задачу создания полного архива всех доступных в Сети исходных текстов. Код загружается из разных источников (GitHub, репозитории Debian, коллекции GNU и т.п.) с автоматическим переносом информации об изменениях, формируя таким образом историю развития кода разных проектов (можно посмотреть каким код был в разное время). В Guix можно использовать Software Heritage для получения кода, если репозиторий из которого собран пакет перестал существовать. В контексте повторяемых сборок пользователь может загрузить из Software Heritag https://www.opennet.ru/openforum/vsluhforumID3/117003.html#5 Mon, 03 Jun 2019 10:27:04 GMT &gt; Надо к Генте что-то прекрутить. Для начала полезно будет написать скрипт верифицирующий <br>&gt; DISTFILES с SWH. Чтобы верифицировать архивы исходных текстов.<br>&gt; Гента должна быть повторяемая если идентичны: <br>&gt; 1. /etc/portage; <br>&gt; 2. /usr/portage; <br>&gt; 3. stage; <br>&gt; 4. Последовательность команд (скрипт зборки); <br>&gt; 5. Возможно надо ещё идентичной LiveCD и железо.<br><br>Гента может быть повторяемой только при условии одинаковых параметров сборки и используемой архитектуры (т.е. собирать под generic amd64 без оптимизаций под конкретный хостовый CPU).<br> https://www.opennet.ru/openforum/vsluhforumID3/117003.html#4 Sat, 27 Apr 2019 04:42:53 GMT Надо к Генте что-то прекрутить. Для начала полезно будет написать скрипт верифицирующий DISTFILES с SWH. Чтобы верифицировать архивы исходных текстов.<br><br>Гента должна быть повторяемая если идентичны:<br>1. /etc/portage;<br>2. /usr/portage;<br>3. stage;<br>4. Последовательность команд (скрипт зборки);<br>5. Возможно надо ещё идентичной LiveCD и железо.<br> https://www.opennet.ru/openforum/vsluhforumID3/117003.html#3 Fri, 05 Apr 2019 19:13:26 GMT Неистово плюсую. Сам начал знакомиться с Guix совсем недавно, зашло за милую душу с учётом опыта с Gentoo. Повторяемые сборки это огонь, хоть и в зависимости от продукта может быть непросто.<br> https://www.opennet.ru/openforum/vsluhforumID3/117003.html#2 Thu, 04 Apr 2019 06:03:10 GMT Для SHA1 подобрана всего _одна_ коллизия и это потребовало привлечения огромных вычислительных мощностей Google. Для произвольных данных подобрать коллизию SHA1 на текущем этапе развития технологий невозможно. В<br> Git уже вычисленную коллизию от Google использовать не реально, так как можно подменить только объекты, которые уже содержат кусок, вызывающий эту коллизию. С учётом, что кроме коллизии нужно вписать её в уже имеющиеся мета-данные атака с использованием коллизий становится нереальной.<br> https://www.opennet.ru/openforum/vsluhforumID3/117003.html#1 Tue, 02 Apr 2019 17:02:14 GMT &gt;С другой стороны, идентификаторы коммита Git совершенно точно указывают на нужную версию пакета<br><br>git использует sha1, у которой есть относительно легко находимые коллизии. Как и software heritage.<br>