The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проблема проверки тождественности исходных текстов и бинарных сборок

21.06.2013 23:10

Один из разработчиков KDE попытался проанализировать насколько реально воссоздать бинарный файл, идентичный распространяемым готовым сборкам, при наличии полных исходных текстов, на основе которых была произведена сборка. Таким образом была оценена возможность проверки собран ли представленный исполняемый файл из указанных исходных текстов и содержит ли то, что заявлено создателями сборки.

В качестве эксперимента было произведено сравнение исполняемых файлов, поставляемых в составе дистрибутивов Debian, Fedora и openSUSE, с исполняемым файлом, собранным из доступных пакетов с исходными текстами. Для теста выбран пакет с утилитой tar. В теории, зная все параметры сборки и версии используемых при сборке компонентов, можно воссоздать исходное сборочное окружение, сборка пакета с исходными текстами в котором должна привести к получению тождественных исполняемых файлов. На практике всё оказалось не так просто, при каждой сборке получались разные исполняемые файлы. Основной причиной различий является сохранение в исполняемом файле данных, связанных со временем сборки.

При оценке пересборки пакетов Debian результаты полностью оправдали предположения - различие составило 20 байт, и в этих байтах содержалась дата сборки. Для openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить причину значительных различий. В качестве наиболее вероятной гипотезы отмечаются возможные отличия в сформированной для тестирования сборочной среде - для сборки использовалась текущая версия тестируемого дистрибутива, но не факт, что аналогичное окружение было использовано разработчиками, а даже при незначительных изменениях используемого инструментария результат меняется кардинально.

Полученные результаты свидетельствуют, что при распространении бинарных сборок недостаточно открывать доступ к коду под свободными лицензиями. Без приведения точной спецификации сборочной среды невозможно проверить на основе представленных исходных текстов собрано приложение или в нём использованы какие-либо модификации. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять выполнившему сборку сервису.

Примечательно, что ни одна свободная лицензия не учитывает данное обстоятельство и не требует указания точных параметров сборочного инструментария при публикации бинарных версий. В качестве одного из способов решения проблемы называется включение в состав исполняемого файла информации о компонентах окружения, в котором была произведена сборка.

  1. Главная ссылка к новости (http://blogs.kde.org/2013/06/1...)
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/37246-compile
Ключевые слова: compile, build, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (244) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, MPEG LA (?), 23:14, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –43 +/
    Одному из разработчиков KDE конкретно нехер делать. покажите ему где багзилла, что ли.
     
     
  • 2.17, Lain_13 (ok), 00:23, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –17 +/
    Obvious fix: Один из разработчиков KDE наконец-то занялся чем-то полезным вместо KDE.
     
     
  • 3.224, Аноним (-), 07:09, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Obvious fix: Один из разработчиков KDE наконец-то занялся чем-то полезным вместо KDE.

    Ну что, трололошки, минусов срубили? Потому что нельзя быть такими жирными и глупыми трололошками.

     
     
  • 4.226, Lain_13 (ok), 07:13, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О-хо-хо, ужас-то какой. Со мной, оказывается, 9 человек не согласны и ты вот ещё.
     
     
  • 5.246, Sergey722 (ok), 14:18, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не так. У 9 с лишним человек твой пост вызвал негативные эмоции. Обычно это значит, что твой пост не только вызывающий, но даже не остроумный.
     
     
  • 6.247, Lain_13 (ok), 14:29, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ой! Какой позор! А я-то думал, что обычно это означает, что из двух проголосовавших групп человек не согласных со мной на 9 с лишним человек больше.
     
     
  • 7.251, Sergey722 (ok), 17:52, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А я-то думал, что обычно это означает, что из двух проголосовавших групп человек не согласных со мной на 9 с лишним человек больше.

    Тогда вы себе противоречите, т.к.:
    >>Со мной, оказывается, 9 человек не согласны и ты вот ещё.

     
     
  • 8.253, Lain_13 (ok), 19:42, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    О да Придирайся к моим словам Придирайся сильнее Сильнее Жёстче Ты же видиш... текст свёрнут, показать
     
  • 2.56, Buy (ok), 10:01, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вопрос не праздный. Можно ли доверять теперь открытому коду собранному при помощи GCC ))). Если у меня с одинаковых исходников получаются разные бинарники, то как проверяя исходные тексты можно убедиться что мой бинарь им соответствует, а не модифицирован?
     
     
  • 3.80, ананим (?), 14:05, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это вопрос человека, слабо понимающего проблему сабжа.
    >Можно ли доверять теперь открытому коду собранному при помощи GCC ))). Если у меня

    Не у вас, вот в чём вопрос.
    Можно ли доверять сборщикам пакета (бинарного пакета заметь), если у тебя в тех же условиях сборка производит иной результат.
    Ну а писать (и перевернуть  сабж так), что гцц в тех же условиях (у тебя) производит из одних и техже исходников разный результат — это вообще... ламерство... или как бы это помягче то.

     
     
  • 4.223, blablabla (ok), 06:18, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Все гораздо проще как ни когда
    Автор/разработчик как бы намекает на то что в Deb все нормалек а вот в сусе и федорке не все так чисто

    я для серверов собираю только из исходников
    это вам не apt-get install / yum install втоптать в клаву


     
  • 2.60, UraniumSun (?), 11:16, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Этот разработчик KDE вызвал у меня очередной приступ паранойи, так что не зря он всё это затеял %)
     
     
  • 3.88, Аноним (-), 14:29, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот разработчик KDE вызвал у меня очередной приступ паранойи, так что не зря он всё это затеял %)

    У кого-то он, может приступ эпилепсии вызвал. Но в обоих случаях содеянного явно недостаточно для вердикта "не зря".

     

  • 1.2, Аноним (-), 23:23, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ломающие новости! О том, что выпуск CentOS намного задержался как раз из-за трудоемкости воспроизведения сборочной среды RHEL (что требовалось для полной бинарной совместимости), товарищ, видимо, не слышал.

    Кстати, непонятно, почему свободные лицензии должны включать предлагаемое требование, если его невыполнение ни одну из свобод не нарушают? Может, еще и требование использовать DVCS в лицензию включим?

     
     
  • 2.7, Xasd (ok), 23:28, 21/06/2013 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > непонятно, почему свободные лицензии должны включать предлагаемое требование, если его невыполнение ни одну из свобод не нарушают

    вот эти свободы:
    [quote]
            0. Свобода запускать программу в любых целях (свобода 0).
            1. Свобода изучения работы программы и адаптация её к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
            2. Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
            3. Свобода улучшать программу и публиковать ваши улучшения, так что всё общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.
    [/quote]

    если нам дают не те исходные коды которые должны давать -- то по сути НЕ нарушается лишь нулевая свобода :-) ..

    а если мы НЕ можем проверить какие исходные коды нам дают (те или не те) -- то с чего это мы должны подумать что в том или ином случае -- нет нарушений свободы?

     
     
  • 3.45, Аноним (-), 05:17, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Непредоставление информации о сборочном окружении никаких свобод не нарушает. А это не то же самое, что и распространение бинарной сборки без соответствующих ей исходных текстов. Разницу видишь? Твои личные подозрения сборщика автоматически виновным в нарушении этих свобод не делает.
     
     
  • 4.49, Анн (?), 07:49, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как ты можешь быть уверен, что бинарная сборка собрана из предоставленных тебе текстов?
     
     
  • 5.182, Аноним (-), 13:45, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Как ты можешь быть уверен, что бинарная сборка собрана из предоставленных тебе
    > текстов?

    А почему это должно его волновать? Если не доверяет - соберет сам из исходников. Вот если поведение собранного окажется отличным от предоставленных бинарников, то это уже повод задуматься об аутентичности исходников.

     
     
  • 6.187, Антоним (?), 15:42, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    отличное поведение, будет падать по-разному
     
  • 6.274, Aleks Revo (ok), 02:10, 29/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Как проверить отличие в поведении, если оно проявляется лишь при определённых погодных условиях на Марсе и только если пришёл сформированный специальным образом файл данных с Венеры? ))
     
  • 4.51, Аноним (-), 08:32, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    0. разве у них нет пакетов с исходниками?
    1. предположим ситуацию: в государстве A, являющимся стратегическим противником гос-ва B, варганят дистры, активно используемые гос-вом B в информационной промышленности, ядрёной энергетике и производстве памперсов. Очевидно, что однажды в офис компании-творца придёт дядя из минобороны гос-ва A, и скажет:
    - Не изволите ли, господа любезные, вшпандорить в детище ваше некий бэкдор? Ибо функционал сей позволит нам на противника B из тыла его его же глазами зрить да ситуацию стратегическую пуще разуметь.
    Очевидно также, что условия таких предложений обычно не позволяют от них отказываться. Гуантанама у них большая.
     
     
  • 5.52, Аноним (-), 08:40, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Пардон. Пока писал - забыл, про чё писал.
    Так вот: бэкдор не должен быть заметен. Потому его код распространять не будут. А вот ежели его в сборку вставить - найти будет гораздо сложнее. (Правда, если найдут - шумиху подымут и дистром пользоваться перестанут.)
     
     
  • 6.164, Аноним (-), 01:50, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Бэкдор и в исходник можно засунуть так, что его не найдут, даже если специально искать будут.
     
     
  • 7.175, Xasd (ok), 12:17, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    но наверное всё-такие всем очевидно -- что если бекдор НЕ засовывать в исходник ... большой текст свёрнут, показать
     
     
  • 8.198, Аноним (-), 18:04, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если код большой и сложный - вероятности примерно одинаковые нулевые См неда... текст свёрнут, показать
     
  • 7.263, AZ_from_Belarus (ok), 00:48, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А вот это очень сильно зависит от стиля написания исходного кода и включенных ко... большой текст свёрнут, показать
     
     
  • 8.264, arisu (ok), 00:50, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    инжой ё один асс version control systems не, не слышали, не надо ... текст свёрнут, показать
     
     
  • 9.265, AZ_from_Belarus (ok), 01:18, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не не надо Подобные задачки решаются не техническими методами, а оперативно-... текст свёрнут, показать
     
     
  • 10.266, arisu (ok), 03:09, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    есть мнение, что VCS применяют не только для того, чтобы при случае выяснить, кт... текст свёрнут, показать
     
     
  • 11.267, AZ_from_Belarus (ok), 11:51, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Всё это очень хорошо вцс и т п Но бывают веселые нюансы Представьте себе 1... большой текст свёрнут, показать
     
     
  • 12.269, arisu (ok), 13:49, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    1 ну и что история куда-то делась, что ли если да 8212 то виноват однознач... текст свёрнут, показать
     
     
  • 13.270, AZ_from_Belarus (ok), 15:00, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не всегда удается пострелять из пушек по воробьям, даже если хочется Если говор... большой текст свёрнут, показать
     
     
  • 14.271, arisu (ok), 15:09, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    точно то же можно сказать и про VCS натурально, у VCS есть и основные функции, ... большой текст свёрнут, показать
     
  • 4.228, Аноним (-), 08:06, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вижу, что одно без другого сводит на нет предоставление исходного кода. И бинарник не достоин доверия.
     
  • 3.153, XoRe (ok), 23:11, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а если мы НЕ можем проверить какие исходные коды нам дают (те
    > или не те) -- то с чего это мы должны подумать
    > что в том или ином случае -- нет нарушений свободы?

    Иш, мейнтейнеры пройдохи, тратят свои ресурсы, собирают пакеты, указывают зависимости, подписывают подписями, выкладывают в репозитории, дают все это скачивать, работают с баг репортами, но не предоставляют полной информации о сборочном окружении.
    И как им теперь верить?
    Обмануть нас хотели - однозначно нарушение свобод!

    > если нам дают не те исходные коды которые должны давать -- то
    > по сути НЕ нарушается лишь нулевая свобода :-) ..

    Сомневаетесь? Не верьте.
    Компилируйте из предоставленных исходников.
    Тогда у вас будет твердая уверенность, что бинарник соответствует исходнику.
    И не надо разводить паранойю.

     
     
  • 4.171, Xasd (ok), 12:08, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя что -- мир монохромно-чёрнобелый либо 100 сомниваться, либо 100 верит... большой текст свёрнут, показать
     
     
  • 5.272, XoRe (ok), 23:01, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > может быть я верю на 99%, а сомниваюсь на 1% ...

    Ну тогда чего думать изза 1% :)

    > говорит "[b]мамый кланусь, не внэдрял бэкдоров во время компэляции! зачэм обэжаиш,
    > да?[/b]",

    Кстати, на этом принципе основана безопасность SSL сертификатов.
    Diginotar тоже мамой клялся:)

     
     
  • 6.273, arisu (ok), 23:07, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, на этом принципе основана безопасность SSL сертификатов.
    > Diginotar тоже мамой клялся:)

    нет там никакой безопасности. система безопасности, скомпрометированная хотя бы один раз, безопасной не является. до первого фэйла можно было только предполагать, что они продают бесполезные фантики, а теперь можно со спокойной уверенностью говорить, что действительно: продают бесполезные фантики. лохотрон такой лохотрон.

     
  • 2.19, Аноним (-), 00:24, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Может, еще и требование использовать DVCS в лицензию включим?

    Кстати, отличная идея. Из-за мазохизма разработчиков окружающие страдать не обязаны.

     
  • 2.34, Аноним (-), 01:34, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Этот неловкий момент... когда понимаешь, что публикуемые уже 10 лет исходники програмы имею слабое отношение к ее бинарной сборке при видимом соблюдении лицензии...
    Потенциальные риски очевидны или еще нет?
     
     
  • 3.37, Michael Shigorin (ok), 02:11, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > Этот неловкий момент... когда понимаешь, что публикуемые уже 10 лет исходники програмы
    > имею слабое отношение к ее бинарной сборке при видимом соблюдении лицензии...

    Вот за что мы любим альт и hasher.

     
     
  • 4.44, skybon (ok), 04:05, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –11 +/
    В каждой бочке затычка.
     
     
  • 5.76, Аноним (-), 13:58, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В каждой бочке затычка.

    Завидовать нехорошо.

     
     
  • 6.122, anonymous (??), 16:15, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> В каждой бочке затычка.
    > Завидовать нехорошо.

    Ты всё на зависть списываешь? Нехорошо по себе других судить.

     
     
  • 7.189, Аноним (-), 17:40, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ты всё на зависть списываешь? Нехорошо по себе других судить.

    Вошел под другим логином и типа пытаешься стрелки перевести? Ну-ну.

     
  • 4.50, Geidrow (ok), 07:58, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В статье «Reflections on Trusting Trust» Кена Томпсона этот вопрос рассматривается во взаимосвязи возможностей компиляторов и закладок в программе, выявляющей глубину проблемы. Факт множества обнаруживаемых уязвимостей может быть интепретирован как следствие применения рассмотренной в статье возможности в некоторых программах. Интерес в таком случае представляет комплексное и нетривиальное исследование кода компиляторов и программ.

     
     
  • 5.199, Дмитрий (??), 20:23, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    (перевод/копипаста?) "Рассмотренной в статье возможности" чего?
     
     
  • 6.259, Geidrow (ok), 18:16, 26/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    1. http://cm.bell-labs.com/who/ken/trust.html
    2. Возможности, рассмотренной в статье.

     
  • 4.59, vi (?), 10:55, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Этот неловкий момент... когда понимаешь, что публикуемые уже 10 лет исходники програмы
    >> имею слабое отношение к ее бинарной сборке при видимом соблюдении лицензии...
    > Вот за что мы любим альт и hasher.

    Пожалуйста, вкратце поясните как это в альте работает?

     
     
  • 5.61, Melchizedek (?), 11:39, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://www.altlinux.org/Руководство_по_hasher
     
  • 5.73, Денис Смирнов (?), 13:49, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    src.srpm пакет содержит в себе список сборочных зависимостей.

    hasher устанавливает все необходимые пакеты в chroot, и производит сборку внутри него. В итоге каждый пакет собирается в минимальном окружении, содержащем только необходимые для сборки пакеты и их зависимости.

    А в архиве сборочной системы сохраняется полный список сборки, в том числе полный список установленных в chroot пакетов, вместе с их версиями.

    Сборка пакетов в дистрибутив делается исключительно через эту сборочную среду -- мантейнер заливает только исходный пакет.

    Таким образом сборочная среда гарантированно воспроизводима.

     
     
  • 6.89, pkdr (?), 14:33, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В федоровском mock всё происходит точно так же.
     
     
  • 7.93, Аноним (-), 14:52, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И в дебиановском pbuilder. Да это у всех дистров одинаково.

    Просто альтовцы, ничего не зная о других решениях, изобрели собственный велосипед и по-детски им гордятся :)

     
     
  • 8.241, agent_007 (ok), 11:57, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Причём изобрели его существенно раньше, чем появились другие решения и по-детс... текст свёрнут, показать
     
  • 7.142, linux must __RIP__ (?), 20:00, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    остается только вопрос - как они умудряются собрать пакеты когда build dep в шапке не всегда полный.
     
  • 6.148, Led (ok), 21:11, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Точно также это делается в OBS.
     
  • 6.258, Michael Bochkaryov (?), 02:04, 26/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, кроме chroot с нужными версиями могут быть и еще всякие приколы.

    Собственно, упомянутый в статье вариант с прописыванием в бинарь времени сборки вполне меняет содержимое. Хотя, я вот навскидку не вспомню, не для того ли в альте faketime применяется?

     
  • 4.145, Аноним (-), 20:51, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А чем они лучше? Такая же бинарщина, потенциально напичканная троянами.
     
  • 3.41, Антоним (?), 03:40, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем тебе бинарники если есть исходники?
     
     
  • 4.72, Андрей (??), 13:41, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перефразируя товарища выше - вот за что мы любим генту :) Если возникли сомнения - посмотрю-ка, из чего это я там собираю?
     
     
  • 5.78, Аноним (-), 14:01, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Перефразируя товарища выше - вот за что мы любим генту :) Если
    > возникли сомнения - посмотрю-ка, из чего это я там собираю?

    Если ебилд возьмет затрояненный код - кто это заметит?

     
     
  • 6.92, ананим (?), 14:52, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тот кому надо — заметит.
    Вообще tgz беруться с зеркалов генты.
    и только пакеты из разряда live-rebuild (вида xxx-xx/xxxx-9999, которые ещё нужно дважды размаскировать), а также из оверлеев/лаймана и различные бета/альфы грешат загрузкой сырцов с аппстрима и их опять же нужно размаскировать.

    короче, ситуация как и в бинарных — если сам захотел установить, то никто тебе запретить подключить левую ппа-репу (или скачать с любой вирусной шары в случае винды) не сможет.
    ну а в такой ситуации конечно кричать про pешето может только достойный представитель админства локалхоста.

     

     ....большая нить свёрнута, показать (48)

  • 1.3, Xasd (ok), 23:24, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    та самая проблема о которой все знают, но при этом всем хочется думать будто проблемы нет..

    ...а проблема-то довольно серъёзная...

    серъёзная хотябы потому что не понятно с какого бока надо начинать её решать :-)

     
     
  • 2.11, all_glory_to_the_hypnotoad (ok), 23:37, 21/06/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    всё понятно как её решать - уютной гентой.
     
     
  • 3.18, Аноним (-), 00:23, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > всё понятно как её решать - уютной гентой.

    В последние годы гента стала неуютной, и вообще катится в это самое :(

     
     
  • 4.33, emg81 (ok), 01:30, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да что Вы? и в чём же это проявляется?

    лично для меня гента - уютнейшая ОСь.
    опять же, сам себе режиссёр:
    надо системд? - пожалуйста. хочешь опенрц - вот возьми.
    хочешь непомуки-аконади - забирай. не хочешь - выпиливай.
    не хочешь обновлять на новую версию пакет - поставь маску.

    и т.п.
    и никакие революции типа "systemd"изации (не разбирался, потому не осуждаю), у"mir"отворения вроде и не задевают. хочешь - ешь. не хочешь - не ешь.

     
     
  • 5.36, all_glory_to_the_hypnotoad (ok), 01:45, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    на самом деле есть немного негатива.. падает кол-во вовлечённых разработчиков (если сравнивать с пиком популярности проекта лет 8-10 назад) и это сказывается на качестве и оперативности поддержки.
     
     
  • 6.48, mma (?), 07:01, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > на самом деле есть немного негатива.. падает кол-во вовлечённых разработчиков (если сравнивать
    > с пиком популярности проекта лет 8-10 назад) и это сказывается на
    > качестве и оперативности поддержки.

    Дистрибутив прошел ту критическую точку развития, инфраструктура стабилизировалась, сейчас естественная убыль разработчиков. Просто раньше куча разработчиков оперативно обновляла дерево портаж, теперь вся эта куча растянулась по группам которые занимаются своими оверлеями, а в портаж попадает то что уже проверено и востребовано.

     
     
  • 7.77, Аноним (-), 14:00, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Дистрибутив прошел ту критическую точку развития,

    Скорее, прошел точку невозврата.
    И то, что вместо пакетного менджера там жутко тормозящая питонятина (оно даже хуже, чем yum!), никого уже не беспокоит. Все ушли.

     
     
  • 8.95, ананим (?), 14:56, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вот и хорошо что ушли Те, кто сравнивает emerge c yum точно должен уйти Таких ... текст свёрнут, показать
     
     
  • 9.98, Аноним (-), 15:09, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    emerge однозначно похтеринг писал, на заре своей карьеры ... текст свёрнут, показать
     
     
  • 10.105, ананим (?), 15:19, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и тем не менее это лучшая система сборки и уcтановки из сырцов предложите лучше... текст свёрнут, показать
     
     
  • 11.107, Аноним (-), 15:22, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всего лишь неудачная и тормозная пародия на порты фри ... текст свёрнут, показать
     
     
  • 12.225, Аноним (-), 07:10, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скорее, это вы - неудачная и жирная пародия на форумное трололо ... текст свёрнут, показать
     
  • 9.99, Аноним (-), 15:13, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Любой, кто сообщает о багах и тормозах - похтеринг и должен уйти Гента идеальна... текст свёрнут, показать
     
     
  • 10.103, ананим (?), 15:18, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    да-да опеннет 8212 это филиал багтреккера генты а набор слабосвязанных слов... текст свёрнут, показать
     
     
  • 11.106, Аноним (-), 15:22, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всякий гентушник знает, что emerge, portage и прочая хрень дико тормозят Но воз... текст свёрнут, показать
     
     
  • 12.124, ананим (?), 16:17, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У шаблон давно разорван или только что Ау Если бы я я бы дебиан или федору ПОС... текст свёрнут, показать
     
     
  • 13.133, Аноним (-), 17:37, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу, жги дальше, хавту блин Там все просто работает безщ всяких хавту, это поня... текст свёрнут, показать
     
  • 13.190, Аноним (-), 17:44, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По-моему, он разорван у тебя Завидуешь ты им только когда хочешь, чтобы все раб... текст свёрнут, показать
     
     
  • 14.236, ананим (?), 11:31, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Мало плюсиков наставил D Ох уж эти дети ... текст свёрнут, показать
     
  • 5.81, Аноним (-), 14:06, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > лично для меня гента - уютнейшая ОСь.
    > опять же, сам себе режиссёр:
    > надо системд? - пожалуйста. хочешь опенрц - вот возьми.
    > хочешь непомуки-аконади - забирай. не хочешь - выпиливай.
    > не хочешь обновлять на новую версию пакет - поставь маску.

    Ну, раз уж вы затронули тему openrc...
    https://bugs.gentoo.org/show_bug.cgi?id=391945

    Сколько лет уже исправить не могут. А все почему? Потому что среди разработчиков ключевого системного компонента не осталось ни одного сишника, только гуманитарии, слегка умеющие костылять на шелле.

     
     
  • 6.101, ананим (?), 15:15, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    во-первых 8212 вот как раз в опенрк половина если не больше это шел-скрипты... большой текст свёрнут, показать
     
     
  • 7.113, Аноним (-), 15:34, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вторую половину можно и не фиксить Достаточно громко кричать works for me ... большой текст свёрнут, показать
     
     
  • 8.130, ананим (?), 16:40, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это ты себе, дружочек, больше похоже что яйца прищемил D Зашибись, works for ... текст свёрнут, показать
     
     
  • 9.191, Аноним (-), 17:46, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по бессвязности и общей бредовости твоей речи, видео тебя шокировало чересч... текст свёрнут, показать
     
     
  • 10.237, ананим (?), 11:34, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    я разговаривал ну с ОЧЕНЬ молодым человеком D Зыж Накрутка плюсиков помогла... текст свёрнут, показать
     
  • 3.66, Карбофос (ok), 13:05, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    гента решает проблему бэкдор в исходниках? не так давно светились и такие варианты.
     
     
  • 4.83, Аноним (-), 14:12, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > гента решает проблему бэкдор в исходниках? не так давно светились и такие варианты.

    Эту проблему никто не может решить, даже openbsd.

     
     
  • 5.112, Карбофос (ok), 15:34, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    об чём и речь.
     
  • 3.202, Аноним (-), 20:34, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > всё понятно как её решать - уютной гентой.

    Тут ниже некто mva выразил мнение, что троян может быть подкинут на этапе сборки. Например, через gcc.

    Это как с перепрошивкой биоса - он производится под контролем самого биоса, поэтому вшитый туда зловред может на лету заразить и новую прошивку.

     
  • 2.21, freehck (ok), 00:35, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я думаю, что ответственные дистрибутивы уже давно разобрались, как надо решать такие проблемы. Вот в том же Debian - этот вопрос решен при помощи pbuilder. И видите какая лепота - всего 20 байт отличий. Вот она, стабильность.

    PS: знающие люди рассказывали, что у ALT Linux тоже есть нечто подобное.

     
     
  • 3.22, Аноним (-), 00:45, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Практически у любого дистрибутива есть собственная инфраструктура для сборки пакетов.
    Кроме, разумеется, всяких клонов убунты, отличающихся только обоями.
     
  • 3.154, XoRe (ok), 23:21, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > PS: знающие люди рассказывали, что у ALT Linux тоже есть нечто подобное.

    Да.
    В дебиане/убунте она есть, в центосе/федоре она есть, в сусе она есть, а в альте она ЕСТЬ!
    Чувствуете разницу?

     
     
  • 4.155, freehck (ok), 23:37, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Чувствуете разницу?

    Нет.

     
     
  • 5.194, Аноним (-), 17:50, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Чувствуете разницу?
    > Нет.

    Скажу проще: свой велосипед всегда лучше (принципиально инновационней) апстримного.

     
  • 4.159, Michael Shigorin (ok), 00:35, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Чувствуете разницу?

    Не, так не чувствую.  А вот что в hasher пакеты при формировании чрута не от честного рута устанавливаются (и таким образом ситуация "рут в чруте" обходится), в отличие от -- чувствую.

    ftp://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html

    Есть и другие интересные отличия.

     
     
  • 5.161, Led (ok), 00:40, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Чувствуете разницу?
    > Не, так не чувствую.  А вот что в hasher пакеты при
    > формировании чрута не от честного рута устанавливаются (и таким образом ситуация
    > "рут в чруте" обходится), в отличие от -- чувствую.

    В OBS на выбор: chroot, LXC, XEN, KVM.

     
     
  • 6.162, Michael Shigorin (ok), 00:45, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В OBS на выбор: chroot

    И в ём root?

    > LXC

    Не шибко отличается.

    > XEN, KVM.

    Вес сам знаешь.

     
     
  • 7.166, Led (ok), 05:19, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> В OBS на выбор: chroot
    > И в ём root?
    >> LXC
    > Не шибко отличается.

    Откуда ты знаешь?

    >> XEN, KVM.
    > Вес сам знаешь.

    Вес в большей степени определяется размером минимальной сборочной среды. Ты давно её не замерял - она огромна и 2/3 там лишние.
    А то, что в случае с XEN или KVM можно ещё необходимое ядро указывать (а не то, что "уже есть и не заменишь") - это только плюс для некоторых случаев использования.

     
     
  • 8.214, Michael Shigorin (ok), 01:10, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    lwn net Не только, ещё startup cost Я вообще-то про opensuse-шную говорил, или ... текст свёрнут, показать
     
  • 7.170, Xaionaro (ok), 12:03, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > > LXC
    > Не шибко отличается.

    На моём опыте, очень даже отличается.

     
     
  • 8.192, Аноним (-), 17:48, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Шигopин, как всегда, не читал, но осуждает ... текст свёрнут, показать
     
     
  • 9.215, Michael Shigorin (ok), 01:11, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Речь была о чруте vs lxc и с ними обоими я работал, а Вам права высказываться за... текст свёрнут, показать
     
  • 7.216, Аноним (-), 01:32, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >И в ём root?

    Нет. В для сборки используется непривилегированный пользователь abuild.

     
  • 2.28, Sabakwaka (ok), 00:56, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/

    > с какого бока надо начинать её
    > решать :-)

    Начните с отсюда :)
    http://www.freebsd.org/about.html

     
  • 2.240, Kodir (ok), 11:49, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как вариант, цифровая подпись (как strong name assembly в .NET).
     

     ....большая нить свёрнута, показать (44)

  • 1.4, Mihail Zenkov (ok), 23:25, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Давайте тогда уже и сборочное окружение упаковывать в каждый исполняемый файл ;)
     
     
  • 2.30, Sabakwaka (ok), 00:57, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Давайте тогда уже и сборочное окружение упаковывать в каждый исполняемый файл ;)

    А давайте в «Makefile» файл? Не?

     
  • 2.53, Аноним (-), 08:43, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая идея, FatELF уже есть, так что пусть будет SuperFatELF.
     
     
  • 3.75, Аноним (-), 13:57, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это будет уже FatC.
     
  • 3.227, Аноним (-), 07:20, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Хорошая идея, FatELF уже есть, так что пусть будет SuperFatELF.

    "Ты же лопнешь, деточка!"

     

  • 1.5, Аноним (-), 23:25, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А зачем это нужно?
     
     
  • 2.42, Заговор (?), 03:41, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Это нужно тем, у кого паранойя фонтаном бьёт на тему: "А не запихал ли программёр в скомпилированный вариант бэкдоров и червей..."
     
     
  • 3.46, Аноним (-), 05:22, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это нужно тем, у кого паранойя фонтаном бьёт на тему: "А не
    > запихал ли программёр в скомпилированный вариант бэкдоров и червей..."

    Бэкдоров и червей и в исходниках можно насовать так, что хрен найдешь. Вон, openbsd-шники так до конца и не выяснили, подсадило ли им трояна ЦРУ или нет. Да и то, шум начался только после того, как кто-то информацию об этом слил, через десяток-то лет!

    Какое-нибудь хитрое переполнение буфера на стыке подсистем, возникающее с специфичных случаях, и никто бэкдор не найдет, кроме как, разве что, случайно.

     
     
  • 4.116, Аноним (-), 15:37, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А ведь про бэкдоры в Linux до сих пор пока ещё никто ничего и не слил.

    Все понимают какой удар это нанесёт по Linux и открытому ПО в целом, это не какой то там мелкий и никому ненужный OpenBSD.

    Так что даже если разрабы Linux и получат такую информацию, вряд ли поспешат её открывать всему миру.

     
     
  • 5.134, Аноним (-), 17:54, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А ведь про бэкдоры в Linux до сих пор пока ещё никто
    > ничего и не слил.
    > Все понимают какой удар это нанесёт по Linux и открытому ПО в
    > целом, это не какой то там мелкий и никому ненужный OpenBSD.
    > Так что даже если разрабы Linux и получат такую информацию, вряд ли
    > поспешат её открывать всему миру.

    Кхе-кхе. Было уже, находили. Крупные туда не пропустят, а мелкие - было пару раз, правятся за пару минут, причём ещё неясно, не опечатка ли это была. Что-то там user=root, вместо user==root такое было.

    И ведь не скрыли ;-) (что с публичным гитом вряд ли вообще возможно).

     
  • 3.70, Карбофос (ok), 13:20, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    это не паранойя, а реальность. за новостями нужно следить, а не кукарекать со своей колокольни.
     
     
  • 4.90, Аноним (-), 14:35, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > это не паранойя, а реальность. за новостями нужно следить, а не кукарекать со своей колокольни.

    Реальность пока такова, что за каждым следить все еще накладно.
    Чтобы за тобой начали наблюдать - надо это заслужить.

     
     
  • 5.100, Аноним (-), 15:14, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Реальность пока такова, что за каждым следить все еще накладно.
    > Чтобы за тобой начали наблюдать - надо это заслужить.

    Вообще, здесь очень много наивных честолюбивых молодых людей, которые мнят себя врагами государства №1 и во сне видят, как за ними гоняется вся королевская конница и вся королевская рать.

     
     
  • 6.110, Карбофос (ok), 15:31, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >мнят себя врагами государства...

    есть и такие. это у тшедушных и мало из себя представляющих персон такое заболевание весьма распространено. а в виртуальной реальности можно особенно сильно зеленые пузыри понадувать.

     
  • 6.173, Xaionaro (ok), 12:11, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дело не в том, следят или не следят А в том, могут следить или нет 1 Чисто п... большой текст свёрнут, показать
     
     
  • 7.195, Аноним (-), 17:53, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > 1.) Чисто психически очень неприятно, когда у тебя нет принципиальной возможности жить
    > private жизнью.
    > 2.) Страшно за мир вокруг, когда всё обстоит именно так, как оно
    > и обстоит. Будешь неугоден кому-то не тому, а у них будет
    > возможность делать что угодно с твоей частной жизнью. Хотелось бы защитить
    > мир от такого.
    > 3.) И так далее в подобном духе.

    Общество идет к состоянию открытости, когда все знают про всех почти все.
    И на чьи-то там комплексы объективным историческим процессам плевать с высокой колокольни.

     
  • 5.109, Карбофос (ok), 15:29, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    за каждым и не следят. с чего вы это взяли? а если подумать на шажочек вперед, зная, какую систему использует цель? бэкдоры даже в сетевухи и принтеры встраивают. там, наверное, тоже всей гурьбой заслужили такой нездоровый интерес?
     
     
  • 6.126, anonymous (??), 16:19, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > за каждым и не следят. с чего вы это взяли? а если
    > подумать на шажочек вперед, зная, какую систему использует цель? бэкдоры даже
    > в сетевухи и принтеры встраивают

    Пруфлинк?

     
     
  • 7.128, Карбофос (ok), 16:24, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    местный поиск не осилил?
     
     
  • 8.177, Адекват (ok), 12:27, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Всегда умиляют такие высказывания найди САМ, доказательства МОЕЙ правоты ... текст свёрнут, показать
     
     
  • 9.181, Карбофос (ok), 13:22, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    а ходить далеко не нужно, собственно умиляйся далее и это не доказательство МОЕ... текст свёрнут, показать
     
  • 9.197, Аноним (-), 18:00, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Просто от вас предполагается минимальный уровень интеллигентности и эрудированно... текст свёрнут, показать
     
     
  • 10.218, arisu (ok), 02:57, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нет предполагается, что оппонент а не пойдёт искать тогда можно сказать, что... текст свёрнут, показать
     
     
  • 11.232, цирроз (ok), 10:30, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    за исключением тех случаев, когда ключевые слова для поиска более чем очевидны ... текст свёрнут, показать
     
     
  • 12.233, Andrey Mitrofanov (?), 10:35, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    гугль цветной принтер секретная печать... текст свёрнут, показать
     
  • 12.245, arisu (ok), 13:30, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    это не тот случай оппонент явно имел в виду нечто конкретное а что 8212 уга... текст свёрнут, показать
     
     
  • 13.249, цирроз (ok), 16:53, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    лично я считаю, что абсолютное большинство возгалсов пруфлинк является примити... текст свёрнут, показать
     
     
  • 14.250, arisu (ok), 17:00, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    тогда можно говорить уже более конкретно, разбирая материал по линкам и для раз... текст свёрнут, показать
     
  • 11.255, Карбофос (ok), 23:40, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    нет всё гораздо прозаичнее в такие моменты вспоминается народная мудрость про ... текст свёрнут, показать
     
  • 5.125, anonymous (??), 16:19, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/

    > Реальность пока такова, что за каждым следить все еще накладно.

    Ну, это пока…

     
  • 5.129, Аноним (-), 16:36, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    В 9 случаях из 10 ты попадаешь не потому, что заслужил, а потому что в ненужное время в ненужном месте оказался.

    Десять лет назад ты ходила четыре месяца на семинар с одним старшим научным сотрудником, а теперь он стал зам. министра, и его первый-второй-третий круги знакомств решили пошерстить на предмет чего-нибудь интересного.

    У тебя порылись в компьютере, интересного для себя ничего не нашли, но нашли странную зарплатную ведомость и кинули ее налоговикам - просто из злости, что зря на тебя потратили время и остатки мозгов.

    Ты собиралась замуж, в свадебное путешествие и рожать ребенка, а получила полугодовые вместо этого терки с налоговым ведомством.

    (Реальный случай. И сотни таких).

     
     
  • 6.131, Карбофос (ok), 16:42, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    так живут же по принципу Фомы неверующего. пока такое с ними не произойдет - в природе не может существовать. доходит только в случае оставшегося следа от пинка на седалище. в остальных случаях им так жить проще. что ж поделать?
     
  • 3.242, Kodir (ok), 11:57, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это нужно тем, у кого паранойя фонтаном бьёт на тему: "А не запихал ли программёр в скомпилированный вариант бэкдоров и червей..."

    Месье настолько неинформирован, что пропустил несколько инцидентов подобного?
    Проверка нужна хотя бы для удостоверения, что бинари не подменили. Так же, когда в пакете происходит глюк, можно проверить, что у авторов стоит такой же бинарь и ошибка воспроизводима.

    Хотя на деле, конечно, всё сложнее - разные архитектуры, ЦПУ, версии компилера, вплоть до один собирает shared libs, а другой всё в статику.

     

     ....большая нить свёрнута, показать (27)

  • 1.6, Аноним (-), 23:28, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Кстати, зачем вообще в исполняемый бинарник пихать время его сборки?
    Бинарники должны лежать в пакетах, а там есть и время, и подпись.
     
     
  • 2.29, Аноним (-), 00:57, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Открыл /usr/bin и /usr/lib.

    У меня не лежат.

     
  • 2.219, arisu (ok), 03:01, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, зачем вообще в исполняемый бинарник пихать время его сборки?

    потому что strip не любят.

     

  • 1.8, FSA (ok), 23:35, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Юзайте системы со сборкой из исходников :-D Gentoo, FreeBSD, частично Archlinux
     
     
  • 2.38, Michael Shigorin (ok), 02:13, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Юзайте системы со сборкой из исходников :-D Gentoo, FreeBSD, частично Archlinux

    Щаз.  Там как раз шансов огрести уникальную (и практически невоспроизводимую) сборочную систему куда больше.

     
     
  • 3.40, hhh (?), 03:32, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Обсуждаемая проблема: невозможность быть уверенным, что установленный софт действительно соответствует тому коду, который открыт. В случае source-based дистров и FreeBSD такой проблемы нет.
     
     
  • 4.84, Аноним (-), 14:16, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Обсуждаемая проблема: невозможность быть уверенным, что установленный софт действительно
    > соответствует тому коду, который открыт. В случае source-based дистров и FreeBSD
    > такой проблемы нет.

    Зато там гораздо острее стоит проблема подмены исходного кода (потому что он тянется с апстримных сайтов, обычно без проверки подписей).
    В отличие от бинарных дистрибутивов, где код качают сами мейнтейнеры, и они же в нем регулярно ковыряются, а потом выкладывают подписанные архивы и пакеты в подконтрольных им репах.

     
     
  • 5.123, НуфНуф (?), 16:16, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Зато там гораздо острее стоит проблема подмены исходного кода
    >(потому что он тянется с апстримных сайтов,
    >обычно без проверки подписей).

    Во FreeBSD хэшсуммы всех сырцов хранятся в соответствующих каталогах портов. Обновления в эти каталоги доставляются portsnap в подписанном виде.

     
  • 5.152, Аноним (-), 21:30, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > потому что он тянется с апстримных сайтов, обычно без проверки подписей

    и не стыдно врать-то? все там подписано

     
  • 5.160, FSA (??), 00:36, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Во FreeBSD безопасность зависит только от мэйнтейнера порта. В Gentoo аналогично. Если исходники подменили на сайтах до создания порт или портежа, то при установке вылетит ошибка. Бинарные дистрибутивы с тем же успехом соберут кривой бинарник. В сабжах получите тот бинарник из которого собрали без бзиков упаковщиков. А то, что меняют можно увидеть в патчах исходников, которые обычно маленькие по объёму и лежат на виду.
     
  • 4.167, mva (??), 08:56, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ЩИТО?!?
    Вообще-то там и контрольные суммы проверяются (в т.ч. можно и GPG, если захотеть), и сами манифесты частенько подписываются GPG-ключами мейнтейнеров
     
  • 4.176, Xaionaro (ok), 12:19, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Обсуждаемая проблема: невозможность быть уверенным, что установленный софт действительно
    > соответствует тому коду, который открыт. В случае source-based дистров и FreeBSD
    > такой проблемы нет.

    Чисто гипотетически. Если Вам досталась система от другого сис. админа, то что Вы будете делать, пересобирать всю систему, чтобы убедиться, что в бинарники ничего не подмешано?

     
     
  • 5.178, Адекват (ok), 12:35, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы будете делать, пересобирать всю систему, чтобы убедиться, что в бинарники
    > ничего не подмешано?

    На практике люди даже пароли не меняют на серверах, а все сбои происходят потому что витуха проложена вместе с линией 220В

     
     
  • 6.185, Xaionaro (ok), 15:15, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Вы будете делать, пересобирать всю систему, чтобы убедиться, что в бинарники
    >> ничего не подмешано?
    > На практике люди даже пароли не меняют на серверах, а все сбои
    > происходят потому что витуха проложена вместе с линией 220В

    Ну, никто не ограничивает свободы поменять пароли, или класть "витуху" правильно. А вот проверить соответствие бинарников и исходного кода - это уже проблема в source-based системах, IMHO.

     
  • 5.203, Аноним (-), 21:17, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ужас какой, как так можно - всю систему пересобирать... Порядочные девушки так не делают!
     
     
  • 6.205, Аноним (-), 22:52, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А главное - не поможет ведь.
    Если зловред встроен непосредственно в компилятор и заражает все собираемые файлы - поможет только полная переустановка. И то, если предположить, что в твоем образе компилятор идет без зловреда (что, вообще говоря, гарантировать нельзя).

    А если предположить, что зловред прописался в BIOS...

     
     
  • 7.230, Аноним (-), 10:12, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Внезапно, кроме зловредов, в наследство можно получить и другие, но тоже "веселые" вещи. Но это уже таки да, оффтоп. Просто меня забавляет новое поколение "одминов", для которых пересборка системы является чем-то вроде сеанса черной магии. В старые добрые времена это была совершенно рядовая операция.
     
     
  • 8.261, Xaionaro (ok), 09:28, 27/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Это Вы про кого, например ... текст свёрнут, показать
     
  • 3.186, an (??), 15:29, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  Там как раз шансов огрести уникальную (и практически невоспроизводимую) сборочную систему куда больше.

    Ну, таки да. Но во многом за это в овете использование autotools/libtools.

     

  • 1.9, all_glory_to_the_hypnotoad (ok), 23:36, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Для openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить причину значительных различий.

    prelink посчитали?

     
     
  • 2.23, Аноним (-), 00:47, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Для openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить причину значительных различий.
    > prelink посчитали?

    Видимо, автор исследования такого умного слова не знал.

    В свое время, на заре моей админской карьеры, эта штука тоже стала для меня очень веселым сюрпризом.

     
     
  • 3.35, ананим (?), 01:44, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Она всегда встаёт сюрпризом но только в одном случае — после апдэйта глибц.

    Зыж
    Кстати, в какой-то период времени понял что прелинк то мне и не nужен.
    Никто не замечал? Правда и винт у меня гибридный, ну а на серверах никогда и не использовал.

     
     
  • 4.79, Аноним (-), 14:04, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Она всегда встаёт сюрпризом но только в одном случае — после апдэйта глибц.

    Очевидно, сверять хеши файлов в системе и тех же файлов в пакете вам никогда не приходило в голову.

     
     
  • 5.91, ананим (?), 14:35, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    1 У меня генту Ещё нужны какие-то пояснения 2 Это не имеет никакого отношени... большой текст свёрнут, показать
     
     
  • 6.102, all_glory_to_the_hypnotoad (ok), 15:16, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что прелинк его обработает только в кроне. В большинсте дистров раз в сутки (к примеру в районе 4 часов утра. по локальному времени).

    +. Анонимы нынче какие-то тупые пошли.

     
     
  • 7.118, Аноним (-), 15:43, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > +. Анонимы нынче какие-то тупые пошли.

    А то ж! Сплошь гентушники.

     
  • 6.108, Аноним (-), 15:28, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вероятность подсчёта хэшей в установленном из пакета ПО и собранном из сырцов
    > в такой именно момент крайне ничтожна.

    Автор этого "исследования" запросто мог взять один файл не из пакета, а из установленной системы. "Ну действительно, зачем распаковывать, возьму из /bin, что ему будет" :)

     
     
  • 7.117, Аноним (-), 15:39, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Автор этого "исследования" запросто мог взять один файл не из пакета, а
    > из установленной системы. "Ну действительно, зачем распаковывать, возьму из /bin, что
    > ему будет" :)

    Кстати, вон ниже человек с прямыми руками воспроизвел эксперимент. И у него - сюрприз, сюрприз! - все сошлось.

     
  • 7.119, ананим (?), 15:50, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Автор этого "иссл…

    А вот к автору я не имею никакого отношения:D
    Для этого у меня нет ни достаточной информации, ни желания разбираться в ней.
    Может у него под федорой вообще битый винт? Может этот tar вообще не работоспособный? Х/з.
    (но по ссылке, к примеру федора, была только что установлена через нетинстал в минимум)

    зыж
    Тут всё больше 2-х(максимум3-х)-сторонние отношения-пикеровки между авторами комментариев по поводу прелинков и прочих хэшей.

     

  • 1.10, AlexYeCu (ok), 23:37, 21/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Спрашивайте у эрэфийских выдавателей сертификатов — они вон винду вовсю для применения в госорганизациях сертифицируют, исходные тексты узрев. Этаким убер-спецам какой-то там пингвин вообще на один зуб.
     
  • 1.12, Аноним (-), 00:07, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Если нет доверия к бинарной сборке, то для проверки нужно собрать самому из исходников. Внимание вопрос: зачем было качать бинарную сборку?
     
     
  • 2.14, Аноним (-), 00:22, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А если эта бинарная сборка нужна больше одного раза? Например 2 или 1000?
     
     
  • 3.16, Аноним (-), 00:22, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А если эта бинарная сборка нужна больше одного раза? Например 2 или 1000?

    Собрал пакет - выложи его в локальную репу, делов-то.

     
  • 2.20, sKotenok (?), 00:25, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Если нет доверия к бинарной сборке, то для проверки нужно собрать самому
    > из исходников. Внимание вопрос: зачем было качать бинарную сборку?

    Например, пересобрать libreoffice - не самое быстрое занятие, даже в генту проще готовые бинарники из калькулейта вытянуть, чем вешать свой недобук на пару суток.

    Учитывая глобальные тенденции к уходу на менее мощные, но более энергоэффективные железки, проблема доверия к бинарникам может быть актуальной.

     
     
  • 3.24, Аноним (-), 00:49, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Например, пересобрать libreoffice - не самое быстрое занятие, даже в генту проще
    > готовые бинарники из калькулейта вытянуть, чем вешать свой недобук на пару
    > суток.

    А может, просто не стоит пихать генту туда, где ее сильные стороны не актуальны, а недостатки - очень даже?

     
  • 3.67, Ктоздесев (?), 13:12, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А не надо поддерживать дурацкие тенденции. Если не хотите остаться с тонким клиентом в рабстве у предоставителя услуг.
     
     
  • 4.82, Аноним (-), 14:09, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А не надо поддерживать дурацкие тенденции. Если не хотите остаться с тонким
    > клиентом в рабстве у предоставителя услуг.

    То, что персонально вы сейчас в рабстве у вашего интернет-провайдера, вас, видимо, не очень беспокоит.

     
     
  • 5.127, anonymous (??), 16:21, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А не надо поддерживать дурацкие тенденции. Если не хотите остаться с тонким
    >> клиентом в рабстве у предоставителя услуг.
    > То, что персонально вы сейчас в рабстве у вашего интернет-провайдера, вас, видимо,
    > не очень беспокоит.

    Некорректное сравнение.

     
     
  • 6.158, Другой Аноним (?), 00:25, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    кстати, корректное. Не надо лицемерить.
     
     
  • 7.196, Аноним (-), 17:56, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > кстати, корректное. Не надо лицемерить.

    Без лицемерия не будет нормальной демагогии.
    А без демагогии он ничего не докажет.

     
  • 5.204, Аноним (-), 21:22, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Выключил в биосе сетевуху - комп работать не перестал. Повторишь тоже самое с thin client - приходи.
     
     
  • 6.206, Аноним (-), 22:54, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Выключил в биосе сетевуху - комп работать не перестал.

    "Выставил в настройках троянца не отправлять мои личные данные куда попало. Чувствую себя в безопасности."

     
     
  • 7.231, Аноним (-), 10:16, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Умница. Но лучше снеси свой оффтопик и поставь хотя бы бyбунту.
     

  • 1.25, MrClon (?), 00:50, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Давно уже задавался этим вопросом, но проверить самому руки не доходили. Спасибо Одному-из-разработчиков-KDE за внесение ясности.
     
     
  • 2.26, Аноним (-), 00:51, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Он внес ясность только с одним пакетом - tar. С другими все может быть совсем иначе :)
     
     
  • 3.31, all_glory_to_the_hypnotoad (ok), 01:02, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    да, пусть лучше потыкает свой же код собранный из плюсовых сорцовъ. Волосы на заднице зашевелятся
     

  • 1.27, Аноним (-), 00:55, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Он использовал именно SRPM и DEB-SRC с теми же самыми параметрами сборки и накла... большой текст свёрнут, показать
     
     
  • 2.47, Аноним (-), 05:37, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Окей, вот ты собрал пакет bar-1 1 с библоитектой libfoo-3 2 4, прошло 2 недели и... большой текст свёрнут, показать
     

  • 1.39, lucentcode (ok), 03:00, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хорошая идея. Пусть в бинарь зашивают данные об окружении для сборки данного приложения.
     
     
  • 2.220, arisu (ok), 03:04, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хорошая идея. Пусть в бинарь зашивают данные об окружении для сборки данного
    > приложения.

    а также имя, фамилию, номер кредитки и размер МПХ.

     

  • 1.54, Александр Патраков (?), 08:52, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В общем-то он не первый, кто поднял эту тему. Я в своем блоге рассмотрел практически идентичный вопрос на примере Arch Linux чуть более года назад: http://patrakov.blogspot.ru/2012/04/verifying-corresponding-source.html
     
     
  • 2.69, all_glory_to_the_hypnotoad (ok), 13:17, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    когда же откроют фабрики по сжиганию блоггеровъ...

    а то развелось, понимаешь, капитанов-истеричек

     

  • 1.55, Buy (ok), 09:50, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так можно ли доверять открытому коду?
     
     
  • 2.57, pondogor (ok), 10:18, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если не ему, то кому тогда?
     
  • 2.63, ананим (?), 12:26, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Так можно ли доверять открытому коду?

    Коду — да.
    А вот компилирующему из этого кода блоб субъекту — не факт.

     
  • 2.85, Аноним (-), 14:22, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Доверять нельзя никому.
     

  • 1.58, sasa (??), 10:53, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    > При оценки пересборки пакетов Debian результаты полностью оправдали предположения -  различие
    > составило 20 байт, и в этих байтах содержалась дата сборки. Для
    > openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить
    > причину значительных различий.

    Поэтому при разработке использую только Debian, вернее его LTS вариант Ubuntu, ибо повторяемость результата не вызывает никаких проблем.

     
     
  • 2.86, Аноним (-), 14:26, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Поэтому при разработке использую только Debian, вернее его LTS вариант Ubuntu, ибо
    > повторяемость результата не вызывает никаких проблем.

    Забавно наблюдать "экспертов", не знающих про prelink.
    А еще они не знают, что реальный срок поддержки LTS такой же, как и у дебиана - три года.

     
     
  • 3.141, sasa (??), 19:46, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Забавно наблюдать "экспертов", не знающих про prelink.

    Какой смешной вендузятник - заказчику исходники нужны, которые он сможет пересобрать у себя

    > А еще они не знают, что реальный срок поддержки LTS

    5 лет

    > Ubuntu 12.04.2 LTS is a long-term support release. It has continuous hardware support improvements as well as guaranteed security and support updates until April 2017.

    http://www.ubuntu.com/download/desktop

     
     
  • 4.207, Аноним (-), 22:57, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какой смешной вендузятник - заказчику исходники нужны, которые он сможет пересобрать у себя

    Гы, реально не знаешь, раз пытаешься отмазаться общими словами.

    >> Ubuntu 12.04.2 LTS is a long-term support release. It has continuous hardware support improvements as well as guaranteed security and support updates until April 2017.

    И условия поддержки Ubuntu тоже не знаешь. Полноценная поддержки идет только три года. Дальше "поддерживается только серверная версия", т.е. минимальный набор из пары десятков пакетов.

     

  • 1.62, Аноним (-), 12:04, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пора выпускать GPLv4?
     
  • 1.71, ip1981 (ok), 13:36, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Для openSUSE и Fedora не удалось достигнуть повторяемости или хотя бы объяснить причину значительных различий

    prelink ?

     
     
  • 2.115, ананим (?), 15:36, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >prelink ?

    … который изменит elf-executables из свеже-установленных (что из пакетов, что собранных из сырцов) только по cron'у согласно скрипту из (обычно) /etc/cron.daily/
    думаю раз эдак 100500 можно хэши подсчитать к этому моменту.

     
     
  • 3.137, all_glory_to_the_hypnotoad (ok), 19:26, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    совсем не факт что везде делает по крону. Т.е. крон всё равно остаётся, но кроме этого может запускаться сразу во время установки пакета.
     
     
  • 4.235, ананим (?), 11:27, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и где так делают?
    В сабжевых дистрах — нет. Тогда к чему этот якобы аргумент?
     

  • 1.74, акфа (?), 13:56, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    вот вы же тут херней страдаете, а скоро все поменяется, не будет никаких сборок, форков, либерти будет только снится! лишитесь свободы в интернет пространстве!
     
  • 1.94, TomBOY (?), 14:53, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Воспроизводимость результата превратилось в мощное колдунство. Это попадос конечно. Теперь им придется сильно подумать, чтобы заставить дистриб делать сборки с однозначно воспроизводимым результатам. А то элементарная проверка по md5
    закроет линуксу путь в гос. структуры однозначно.
     
  • 1.97, agente (?), 15:04, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    он наркоман, процесс сборки суси полностью прозрачен, скорее всего он  собирал с исползованием апдейтов, тогда как бинарь тара собирался еще до апдейтов, плюс в не в родных инстурментах дистра.
    https://build.opensuse.org/package/live_build_log?arch=i586&package=tar&projec вот лог

    скачал tar-1.26-14.1.1.x86_64.rpm (6f45f498102b28cfe757776456a04bec) и распаковал
    md5sum /tmp/tarr/bin/tar
    35651e25c9bb21376065c3206cee8508  /tmp/tarr/bin/tar

    теперь

    osc co openSUSE:12.3 tar
    cd ./openSUSE\:12.3/tar/
    osc build -j3

    /var/tmp/build-root/standard-x86_64/.build.packages/RPMS/x86_64/tar-1.26-0.x86_64.rpm (99dec18a85b8a515eca3c2c6d93834a2) распаковываем

    md5sum /tmp/tar/bin/tar
    35651e25c9bb21376065c3206cee8508  /tmp/tar/bin/tar


    какой неожиданный результат, нужно знать инструменты дистрибутива и примерно что и как в нем делаеться, предже чем писать вот такие посты.

     
     
  • 2.168, mva (??), 09:06, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > он наркоман, процесс сборки суси полностью прозрачен, скорее всего он  собирал
    > с исползованием апдейтов, тогда как бинарь тара собирался еще до апдейтов,
    > плюс в не в родных инстурментах дистра.
    > какой неожиданный результат, нужно знать инструменты дистрибутива и примерно что и как
    > в нем делаеться, предже чем писать вот такие посты.

    Он проверял, является ли просто собранный из исходников бинарь идентичным бинарю в дистрибутиве.

    Нет никаких гарантий, что этот ваш osc не подкидывает трояна (и тогда ессно бинари будут идентичные).

     
     
  • 3.172, agente (?), 12:10, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    давай развивать мысль дальше, где гарантия что gcc не подвидывет трояна, где гарантия что сам CPU е подкидывает трояна и т.д?
    Все исходники открыты, логи доступны.
    osc собирает chroot\xen\qemu
     
  • 3.174, agente (?), 12:14, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    давай развивать мысль дальше, где гарантия что gcc не подкидывет трояна, где гарантия что сам CPU не подкидывает трояна и т.д?
    Все исходники открыты, логи доступны.
    osc собирает chroot\xen\qemu окружение и делает все там(с апдейтами или нет это уже настроивается), rpmbuild использует все системное, не думаю что он заморочился выставить все нужные переменные окружения, и проверить идентичность версий gcc и прочего, ибо с нетинстала ставится  сразу с апдейтеми.
     
     
  • 4.256, linux must __RIP__ (?), 17:46, 25/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > давай развивать мысль дальше, где гарантия что gcc не подкидывет трояна,

    gcc линкует libgcc статичиски в бинарник - вот там может лежать что угодно :)

     
     
  • 5.257, Andrey Mitrofanov (?), 18:02, 25/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > gcc линкует libgcc статичиски в бинарник - вот там может лежать что
    > угодно :)

    Хорошо, что clang не линкует libgcc! "Что угодно" не пройдёт!! </в мозгу у тебя>

     
  • 3.201, Аноним (-), 20:30, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Он проверял, является ли просто собранный из исходников бинарь идентичным бинарю в  дистрибутиве.

    Так как собирал он в другом окружении, идентичности не получилось. Фороникс, что поделать.

    > Нет никаких гарантий, что этот ваш osc не подкидывает трояна (и тогда ессно бинари будут идентичные).

    Нет никаких гарантий, что это ваш emerge не засовывает троян в каждый собранный бинарник.

     
  • 2.179, Аноним (-), 12:57, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > наркоман, процесс сборки суси полностью прозрачен

    Ты повторял?

     
  • 2.180, Аноним (-), 13:01, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > он наркоман, процесс сборки суси полностью прозрачен,

    как в ресторане - ты заказываешь меню, тебе говорят что это сделано из чистых продуктов, приносят готовое блюдо. Ты хоть раз заходил в кухню? Ты хоть раз сам проверил?
    И чем ты отличаешься от хомячка, нажимающего кнопку пуск?

     
     
  • 3.188, agente (?), 15:44, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    заходил, кухню OBS я знаю олично,  есть логи сборки любого пакета, и то  что я через пол года, 3 командами получил локально точно такой же бинарник который лежит на сервере уже  пол года доказывает что никаких шаманст там нет.
     
  • 3.200, Аноним (-), 20:28, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > как в ресторане - ты заказываешь меню, тебе говорят что это сделано из чистых продуктов, приносят готовое блюдо. Ты хоть раз заходил в кухню? Ты хоть раз сам проверил?
    > И чем ты отличаешься от хомячка, нажимающего кнопку пуск?

    Точно. Теперь буду стебать этим всех запускателей gcc, которые не могут лично прочитать бинарник и установить соответствие каждой инструкции определенной строчке сорцов.

     

  • 1.132, Anonymouz (?), 17:06, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Use Gentoo, Luke!
     
  • 1.135, neuroquote (ok), 18:49, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Честно говоря когда я в первый раз узнал об опенсоурс, свободке и так далее, я сразу задался этим вопросом. Интересно почему чувак из KDE только сейчас решился его поднять? В прочем не суть. Важно осознать, что все это движение не вчера появилось и вопрос практически не существенен, так как, если в его паранойяльной теории все же такое случиться, изменения будут либо несущественны/незаметны, либо завтра же напишут статью о таком нарушении, так как это будет заметно по различным умозрительным заключениям о поведении программы и прочему. Суть в том, что лицензия запрещает такое делать, потому это вовсе не изъян, а фича, ибо вас не заставляют доказывать что исходники и софт соответствует друг другу.
     
     
  • 2.139, all_glory_to_the_hypnotoad (ok), 19:29, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Интересно почему чувак из KDE только сейчас решился его поднять?

    чувак завёл блог, а там нужно что-то писать. Думал-думал что же эдакое нахерачить, день сидел, ночь... и придумал.

    не задвай больше глупых вопросов.

     
  • 2.150, Led (ok), 21:26, 22/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Честно говоря когда я в первый раз узнал об опенсоурс, свободке и так далее

    Вчера?

     

  • 1.149, kamiram (?), 21:13, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Всё неколько глубже.
    А не подсунули ли враги сборщику специальный gcc(он даже не в курсе) и теперь от него пакеты с бэкдорами?
     
  • 1.151, Аноним (-), 21:29, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лицензию - доработать.
    Дистрибьюторам рекомендовать указывать параметры повторяемости.
    А идущим - собирать хотя бы gentoo.
    Иначе всех ждет банка для хомячков.  
     
     
  • 2.260, Аноним (-), 00:55, 27/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Лицензия - это тебе не RFC, в ней рекомендации нафиг не сдались, потому, если что-то условиями лицензии не требуется, а "рекомендуется", то, считай, что этого в ней нет. В суд ты с нарушениями рекомендаций не пойдешь.
     

  • 1.156, XoRe (ok), 23:37, 22/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    20 байт разницы при сборке tar, о ужас!
    Я знаю, как занять парнишку.
    Пусть KDE собирает и ищет отличия с разными опциями компиляции.
    Сутки на компиляцию пакета... через неделю сам забьет.

    А тем, кто не доверяет репозиториям дистрибутива с цифровыми подписями, могу посоветовать пересобирать пакеты в своем окружении и класть в локальный репозиторий.
    Безо всякого сарказма

     
  • 1.169, Прохожий (??), 11:37, 23/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А вот как заставить компилятор генерировать априори абсолютно разные результаты на одинаковые исходники? Рандомные адреса, рандомный оптимизатор, etc.
    По соображениям безопасности, это получился бы настоящий торт!
     
     
  • 2.222, arisu (ok), 03:09, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А вот как заставить компилятор генерировать априори абсолютно разные результаты на одинаковые
    > исходники? Рандомные адреса, рандомный оптимизатор, etc.
    > По соображениям безопасности, это получился бы настоящий торт!

    а для отладки — настоящий бред.

     

  • 1.183, Anonymouse (?), 14:33, 23/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все еще хуже на самом деле. Что делать с брадобреем (gcc) который компилирует тех,  и только тех кто не компилируется сам?

     
     
  • 2.208, Аноним (-), 23:00, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Все еще хуже на самом деле. Что делать с брадобреем (gcc) который
    > компилирует тех,  и только тех кто не компилируется сам?

    Почему? Тех, кто компилируется сам, он тоже компилирует (себя, например).

    А вот вопрос о том, можно ли ему доверять - вполне резонный. Вдруг он изначально завирусован, и поражает каждый собираемый файл? Тогда результат может быть вполне повторяемым.

     
     
  • 3.229, Anonymouse (?), 10:07, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Все еще хуже на самом деле. Что делать с брадобреем (gcc) который
    >> компилирует тех,  и только тех кто не компилируется сам?
    > Почему? Тех, кто компилируется сам, он тоже компилирует (себя, например).

    Ну это была изящная словесность :)
    http://ru.wikipedia.org/wiki/%D0%9F%D0%B0%D1%80
    Я это к тому что все равно нужен минимум один бинарик которому приходится верить на слово.
    > каждый собираемый файл?

    Алгоритм заражения может быть хитрее.

     
     
  • 4.268, AZ_from_Belarus (ok), 12:24, 28/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Все еще хуже на самом деле. Что делать с брадобреем (gcc) который
    >>> компилирует тех,  и только тех кто не компилируется сам?
    > Ну это была изящная словесность :)

    Оценил :-)

    > Я это к тому что все равно нужен минимум один бинарик которому
    > приходится верить на слово.

    А если вспомнить еще и о железе? Чего там прошито в микрухах - это черный ящик от которого вы имеете часть описания, но как соотносится эта часть с полным описанием - проверить не можете. Как узнать - не поражает ли Ваш процессор или ваш контроллер винчестера Ваш любимый и доверенный бинарник gcc? :-D

     
  • 3.243, Аноним (-), 11:58, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вдруг он изначально завирусован

    если друг оказался вдруг..

     

  • 1.184, Vasily_Pupkin (ok), 15:06, 23/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Эти идиоты не догадались вырезать только .text секцию?
     
     
  • 2.210, Карбофос (ok), 23:19, 23/06/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    просто бяда, когда знают только об .text
    весьма печалит. но ведь не доказывать же каждому менеджеру из макдональдса, что там и другие мелочи есть... и не только в текстовом формате.
     

  • 1.217, Аноним (-), 02:04, 24/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Кстати отличная новость для всех кто с нетерпением ждал полностью рабочую и юзабельную версию ReactOS.

    Разрабы обещали мне в чате, что скоро выйдет альфа, в 2017 году...

    Но в любом случае, губёшки раскатывать не стоит, так альфа будет ну очень "свежей"...

     
  • 1.234, Кирилл (??), 11:26, 24/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Парню из KDE это было забавы ради, а для госструктур это одно из основных требований. И уже давным-давно (года эдак с 2003) эта проблема решена - в требуемом объеме. Специализированные дистрибутивы (МСВС, АстраЛинукс) и то ПО для них, которое проходит сертификацию, проходят проверку на воспроизводимость. Т.е. берется у предпрятия диск с исходниками,  берется документация по нему (инструкция по сборке), чистый комп, выполняется сборка, считается md5. И этот md5 сравнивается с md5, посчитанным с диска с бинарниками, предоставленным предприятием. Не совпадает - свободны.
     
     
  • 2.238, Andrey Mitrofanov (?), 11:37, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Т.е. берется у предпрятия диск с исходниками,  берется документация
    > по нему (инструкция по сборке), чистый комп, выполняется сборка,

    Загрузившись прямо в live-cd с _исходниками_.

    > считается md5. И этот md5 сравнивается с md5, посчитанным с диска с бинарниками,

    Понятно, что ты никогда этого не делал.

    > предоставленным предприятием. Не совпадает - свободны.

     
     
  • 3.239, Кирилл (??), 11:48, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я то как раз делал много раз, сударь. И если вам есть, что сказать, потрудитесь по пролетарски не тыкать незнакомым вам людям.
    Не в Live-cd, а в той среде, которая указана в качестве целевой. Как правило, это "чистая" установка эталонной, сертифицированной среды с указанными параметрами.
     
     
  • 4.244, Andrey Mitrofanov (?), 12:02, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я то как раз делал много раз, сударь. И если вам есть,

    А я не делал.

    > Как правило, это "чистая" установка эталонной, сертифицированной среды с указанными параметрами.

    Со встроенной машиной времени или алкающие сертификации патчат _все_ сиссемы сборки всех исходников, чтобы те, не оставляли следов времени на локальных часах сборочницы в результирующих бинарях?

    Или запросто кладут готовые .rpm в .srpm?

     
     
  • 5.248, Кирилл (??), 14:45, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Со встроенной машиной времени или алкающие сертификации патчат _все_ сиссемы сборки всех
    > исходников, чтобы те, не оставляли следов времени на локальных часах сборочницы
    > в результирующих бинарях?

    Да, со встроенной машиной времени -) По крайней мере, в МСВС используется специальный модуль ядра для обеспечения пересобираемости, который в том числе заставляет системные часы "тикать" определенным образом - так, что на момент вызова каждой утилиты из сборочных скриптов часы имеют такое же время, как и на предыдущей пересборке. Патчить сборку пакетов приходиться, но редко, и не сильно.

    > Или запросто кладут готовые .rpm в .srpm?

    Разработчик, имеющий совесть, это не сделает никогда. А сертификационная лаборатория следит за тем, что бы все разработчики совесть имели. Как правило, реально следит.


     
     
  • 6.254, all_glory_to_the_hypnotoad (ok), 21:27, 24/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > По крайней мере, в МСВС используется специальный модуль ядра для обеспечения пересобираемости, который в том числе заставляет системные часы "тикать" определенным образом - так, что на момент вызова каждой утилиты из сборочных скриптов часы имеют такое же время, как и на предыдущей пересборке.

    не перестаю удивляться тупости отечественных разработчиков 'защищённых' систем.

     
     
  • 7.262, Andrey Mitrofanov (?), 13:19, 27/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > не перестаю удивляться тупости отечественных разработчиков 'защищённых' систем.

    Не, ну не прав же. Профессионалы! Умищу-то, умищу -- куда.

    Жить захочешь, ещё не так раскорячишься.

    s/.+,/Захочешь наклеечками торговать,/

     

  • 1.252, qwe (??), 19:26, 24/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Парни из KDE готовят прогрессивную общественность к QML?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру