The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Доступен rebuilderd для независимой верификации Arch Linux при помощи повторяемых сборок

22.04.2020 08:59

Представлен инструментарий rebuilderd, позволяющий организовать независимую проверку бинарных пакетов дистрибутива через развёртывание непрерывно работающего сборочного процесса, сверяющего загружаемые пакеты с пакетами, получаемыми в результате пересборки на локальной системе. Инструментарий написан на языке Rust и распространяется под лицензией GPLv3.

В настоящее время в rebuilderd доступна только экспериментальная поддержка верификации пакетов из Arch Linux, но в скором времени обещают добавить и поддержку Debian. В простейшем случае для запуска rebuilderd достаточно установить пакет rebuilderd из штатного репозитория, импортировать GPG-ключ для проверки окружения и активировать соответствующий системный сервис. Возможно развёртывание сети из нескольких экземпляров rebuilderd.

Сервис отслеживает состояние индекса пакетов и автоматически запускает пересборку новых пакетов в эталонном окружении, состояние которого синхронизировано с настройками основного сборочного окружения Arch Linux. При пересборке учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки). Настройки процесса сборки исключают добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.

В настоящее время повторяемые сборки обеспечены для 84.1% пакетов из core-репозитория Arch Linux, 83.8% из репозитория extras и 76.9% из репозитория community. Для сравнения в Debian 10 этот показатель составляет 94.1%. Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки пакетов байт в байт совпадают со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

  1. Главная ссылка к новости (https://lists.reproducible-bui...)
  2. OpenNews: Инициатива по обеспечению повторяемых сборок Arch Linux
  3. OpenNews: Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage
  4. OpenNews: Для 94% пакетов Debian обеспечена возможность повторяемой сборки
  5. OpenNews: В NetBSD обеспечена поддержка повторяемых сборок
  6. OpenNews: Проект по обеспечению повторяемости сборки пакетов для Fedora Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52784-archlinux
Ключевые слова: archlinux, rebuild, rebuilderd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:18, 22/04/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –5 +/
     

     ....ответы скрыты (6)

  • 1.3, Аноним (3), 09:33, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +9 +/
    > слепо доверять чужой сборочной инфраструктуре

    Желтизна. Да, сборочной инфраструктуре крупнейших дистрибутивов доверяют, но не слепо: едва там появится намеренно добавленный зловред, репутация всего дистрибутива стремительно упадет.

    К примеру, "инфраструктуре" палемуна доверять нельзя, поскольку КГ/АМ-автор палемуна настаивает на том, что пользоваться надо именно его бинарниками, а в них-то и была в итоге обнаружена вирусня.

     
     
  • 2.6, Урри (?), 09:41, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    А можно детали про вирусню?
     
     
  • 3.7, anonymous (??), 09:45, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    https://habr.com/ru/news/t/459962/
     
  • 3.19, Аноним (19), 10:31, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    https://www.opennet.ru/opennews/art.shtml?num=51071
     
  • 2.12, Аноним (12), 10:11, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    >но не слепо: едва там появится намеренно добавленный зловред, репутация всего дистрибутива стремительно упадет.

    это значит слепо
    kernal.org взламывали. Перестали ли после это пользоваться linux? Упала ли его репутация?

     
     
  • 3.13, Аноним (3), 10:15, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    > kernal.org взламывали

    Не припоминаю такого, чтобы там распространялось ядро в бинарном, собранном виде.

     
     
  • 4.32, Аноним (32), 15:05, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Закладка прямо в исходнике не намного лучше.
     
  • 2.21, Аноним (21), 10:44, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Нет, причина этого иная, он настаивает на том, чтобы использовали именно бинарни... большой текст свёрнут, показать
     
     
  • 3.28, nebularia (ok), 12:49, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Это ещё если вспомнить про взлом FossHub, который многие использовали (и используют, ибо с кем не бывает) для распространения официальных бинаорей.
     

  • 1.10, Аноним (10), 09:58, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >бинарных пакетов

    Не нужно, install gentoo.

     
     
  • 2.14, Аноним (14), 10:23, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    https://www.linux.org.ru/forum/admin/15194240?cid=15199687
     
     
  • 3.17, Аноним (10), 10:27, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    >бинарнокуколдам ниприятна
     

  • 1.16, Аноним (16), 10:26, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Я правильно понимаю, что для проверки загруженных бинарей, они предагают постави... большой текст свёрнут, показать
     
     
  • 2.18, Аноним (16), 10:30, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    *Потому что если так, то находясь на ролинговом дистре, вам придётся постоянно что-то собирать с сорцев, ЧТОБЫ ПРОВЕРИТЬ схожесть пакетов, тогда смысл держать Арч?

     
  • 2.20, Аноним (14), 10:38, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > вам придётся постоянно что-то собирать с сорцев, тогда смысл держать Арч?

    Заголовок новости прочти:

    [b]"для независимой верификации Arch Linux при помощи повторяемых сборок"[/b]

    Наличие системы повторяемые сборок [b]одно из необходимых требований безопасности[/b].

     
  • 2.23, Аноним (23), 10:52, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Да если они собрались проверять повторяемость сборок то пусть саму эту бинарную сборку и поставляют зачем тогда Арч? А если вы сорцы то не надо заниматься ерудной.
     
  • 2.25, Vanych (?), 12:03, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не у всех стоит задача перекомпилять весь дистрибутив, обычно вызывает подозрения один пакет, особенно странным обращением в сеть. Сейчас это стало характерно для IoT. И даже просто убедиться в рабочих приложениях для "очистки совести" тоже не мешает. А в Arch этим озаботились, когда-то это было нормой, но постепенно дистриб-разработчики оторвались от народа.
     
     
  • 3.50, Аноним (50), 20:33, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    В теории это понятно, однако, первое - соблюсти прям такую же среду нужно как и ... большой текст свёрнут, показать
     
  • 2.27, TormoZilla (?), 12:40, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Что только не делают, чтобы генту не ставить, где этот велосипед нинужин
     
     
  • 3.37, Аноним (23), 15:47, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Генка просто не модный для последних бумеров.
     
  • 2.47, Аноним (47), 19:48, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    > они предагают поставить у себя сборочницу

    Не у себя, а у волонтёров и безопасников. Конечному пользователю предлагается доверять пересечению множества независимых показаний. Принцип "доверяй, но  проверяй" в действии. Кроме того, атакующему теперь придётся компромитировать сборочную инфраструктуру не только проекта, но и его доверенных лиц.

    Короче,
    > Ты ничерта не разбираешься, всё правильно делают, Арч прекрасен, а будет ещё лучше

     

  • 1.22, Аноним (23), 10:50, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Всегда там были вредоносы https://www.opennet.ru/opennews/art.shtml?num=48948 и никуда они не денутся хоть по подписи их проверяй хоть по айпи.
     
     
  • 2.29, Sluggard (ok), 13:33, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    И какое отношение к официальным (core, extra и community) арчерепам имеют сторонние репозитории пользователей? Насколько я понимаю, даже в community пакеты из AUR попадают только после проверки и одобрения.
     
     
  • 3.31, Аноним84701 (ok), 13:49, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > И какое отношение к официальным (core, extra и community) арчерепам имеют сторонние
    > репозитории пользователей? Насколько я понимаю, даже в community пакеты из AUR попадают только после проверки и одобрения.

    Ну-у-у, когда нужно похвастатьcя количеством имеющегося софта (или скорее - наличием экзотической версии в не менее экзотической сборке) то почему-то Арчеводы предпочитают кивать на помой^W AUR, а не на core/extra/community :)

     
     
  • 4.33, Sluggard (ok), 15:20, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    И какое отношение к официальному Арчу имеют случайные люди, со склонностью к странноватой писькомерке? :)
     
     
  • 5.36, Аноним (23), 15:46, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Такое же как npm к node.js. Нода в целом может работать без npm, но её так никто не использует.
     
  • 5.51, Аноним (50), 20:37, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > И какое отношение к официальному Арчу имеют случайные люди, со склонностью к
    > странноватой писькомерке? :)

    В дикой природе не встечалось ни одного арчевода, который юзает голый коре-систем, все хвалятся набитым доверху пакетами (которые не совсем готовые пакеты, ну да ладно), как сокровищница, АУРом, это не то что эти ваши ppa - вещает каждый арчевод. А почему они так делают и такое говорят, до поди их разбери, дикари-с?!

     
  • 4.38, axredneck (?), 16:59, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    В случае с AUR хотя бы можно проверить, что ставишь.
     
  • 4.39, GenuZ (?), 17:57, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и тотчас его отключать, чтобы он системные либы до самосборок васяновских не обновил случайно...
     
     
  • 5.40, Аноним84701 (ok), 18:21, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и тотчас его отключать, чтобы он системные либы до самосборок васяновских не обновил случайно...

    Интересные фантазии. А чем одна помой^W репа-открытая-на-загрузку-для-всех-и-каждого, лучше другой? o_O
    Ну и да: там, где у меня убунта, мне хватает вполне штатной бубунтовской репы.


     
     
  • 6.42, nebularia (ok), 18:33, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Во-первых - не для всех и каждого.

    Во-вторых - большая часть PKGBUILD будет несколько десятков строк всего. Посмотрел прежде чем ставить, проверил что исходники с официального источника забираются и ставишь.

    В своём классе, наверное, лучшее решение. Ты ставишь один пакет, а не целый ppa/оверлей, можешь всё проверить, подправить и/или форкнуть.

     
     
  • 7.43, Аноним84701 (ok), 18:58, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Во-первых - не для всех и каждого.
    > Во-вторых - большая часть PKGBUILD будет несколько десятков строк всего. Посмотрел прежде чем ставить, проверил что исходники с официального источника забираются и ставишь.

    И патчи проверить не забыть - а так да, делов-то, искать официальный источник (совсем-совсем не смахивает на виндовс-вей "качаем только со странички автора"), угу.
    Вообще-то, основной смысл "реп" и "мейнтейнеров" - забирать на себя рутину с проверкой автора, обновлений (ну и накладывания патчей).

    > В своём классе, наверное, лучшее решение. Ты ставишь один пакет, а не
    > целый ppa/оверлей, можешь всё проверить, подправить и/или форкнуть.

    Если слаще морковки не едал (и не видел генту или порты фри) - все может быть.


     
     
  • 8.48, Аноним (47), 20:04, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Обычно в AUR программы собираются из сырцов, а патчи либо замержены в мастер апс... текст свёрнут, показать
     
  • 8.53, nebularia (ok), 21:06, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Так разве сейчас про официальные репозитории речь Речь про AUR, который поддерж... текст свёрнут, показать
     
     
  • 9.54, nebularia (ok), 21:10, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Тут немного перепутал, всё-таки в аур можно без аппрува от Trusted User Что, в ... текст свёрнут, показать
     
  • 9.55, Аноним84701 (ok), 21:25, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Хм, вообще-то про официальные - шпилька была как раз в сторону любителей сравнив... текст свёрнут, показать
     
  • 5.52, Аноним (50), 20:43, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    > Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и
    > тотчас его отключать, чтобы он системные либы до самосборок васяновских не
    > обновил случайно...

    Ну, это какой-то тугой бубунтоед, который приоритеты пакетов не осилил, ppa ничего не ломают наглухо, всегда можно пуржануть весь ppa с полным откатом, если опустить спорное решение с отдельными ppa, то качество проверки пакетов там вызывает больше доверия, чем к ауровским, они все с цифровой подписью. Другое дело что это добро всё надо отрубать по-хорошему, когда с релиза на релиз перекатываешься, чтобы сюрпризов не получить, поэтому те, кто не хотят этой чихарды пользуются Дебианом, в котором основная масса пакетов именно что из официальных реп, а не как в бубунте - куцый майн, а остальное кто как захочет.

     

  • 1.34, Michael Shigorin (ok), 15:36, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > сверяющего загружаемые пакеты с пакетами,
    > получаемыми в результате пересборки на локальной системе

    Эээ... уважаемые арчеводы, подтвердите или опровергните -- там что, принято загружать *бинарники*?

    > автоматически запускает пересборку новых пакетов
    > в эталонном окружении, состояние которого
    > синхронизировано с настройками основного сборочного
    > окружения Arch Linux

    Они там в каком веке вообще живут по части сборочных систем?  Уже даже федора с ручника снялась.

    PS: http://altlinux.org/hasher -- с 2003 года; http://altlinux.org/reproducible -- как только возникло какое-то интересное обсуждение.

     
     
  • 2.56, anonymous (??), 00:04, 23/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    > Эээ... уважаемые арчеводы, подтвердите или опровергните -- там что, принято загружать *бинарники*?

    Да. Это ж не Гента.

     
  • 2.58, Аноним (58), 08:49, 23/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    В том-то и дело, Михаил, что реально бинарные это коре-систем сотоварищи, а это... большой текст свёрнут, показать
     
     
  • 3.62, Аноним (62), 13:56, 24/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Те, кто беспричинно задирают нос и до сих пор не научились себя вести в обществе... большой текст свёрнут, показать
     

  • 1.35, Аноним (23), 15:45, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Мы упустили одну маленькую деталь оно написано на Rust.
     
     
  • 2.57, коржик (?), 06:49, 23/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    🤦‍♂️
     

  • 1.41, Аноним (-), 18:23, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Инструментарий написан на языке Rust и распространяется под лицензией GPLv3.

    Фууф наконец-то растаманы одумались. Здравствуй копилефт на Расте!

     
  • 1.44, Аноним (44), 19:05, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    То есть раньше для линукса был нужен безграничный канал, чтобы скачивать все эти сотни пакетов, а теперь ещё и десятки гигов оперативы, терабайт диска и десяток ядер, чтобы всё это уже скачанное разрешить установить, после того как его же соберёшь локально?
     
     
  • 2.59, Аноним (59), 08:56, 23/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Не для линукса, а для ролинг дистров, особо арча, арч без сети вообще смысла осо... большой текст свёрнут, показать
     
  • 2.61, Аноним (61), 09:39, 23/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    > То есть раньше для линукса был нужен безграничный канал, чтобы скачивать все
    > эти сотни пакетов, а теперь ещё и десятки гигов оперативы, терабайт
    > диска и десяток ядер, чтобы всё это уже скачанное разрешить установить,
    > после того как его же соберёшь локально?

    Помнится, ради спортивного интереса, собирал LibreOffice на 2 гигах оперативы. С lto. А ты терпи и качай обновления на Windoze.

     

  • 1.45, Аноним (44), 19:08, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >> При пересборке учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки).

    То есть, если закладку компилятором внесли в эталонной репке, то и вам установят тот же самый дырявый компилер и он локально соберёт точно такой же пакет с закладкой. Круто!

     
     
  • 2.49, Аноним (47), 20:16, 22/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    Очевидно, сборочный инструмент проверят на воспроизводимость сборок в первую очередь.
     
     
  • 3.60, Аноним (60), 08:59, 23/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    > Очевидно, сборочный инструмент проверят на воспроизводимость сборок в первую очередь.

    И? А кто проверит проверяющих?
    К тому же, вот сборочный инструмент у кого-то там собрал пакет, а у вас он собран в другой среде, и не совпадают, чо делоць?! Бежать кричать, караул, палёные пакеты подсовывают?!


     
     
  • 4.63, Аноним (62), 14:12, 24/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    > А кто проверит проверяющих?

    Посмотрите как проблему с доверием решают в распределенных системах (например, блокчейн).
    Если *несколько* *независимых* проверяющих дают *одинаковые* показания, можно судить, что они говорят правду с *большей вероятностью*, чем когда показания даёт только один из них - сопроводитель пакета.
    ..Стоп. А что если наш мир существует только в нашем воображении, и нами давно манипулирует невидимый Архитектор? Что если моя шапочка из фольги тоже воображаемая и потому не спасает? Караул! Как дальше жить?!..

     

  • 1.46, microsoft (?), 19:22, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Главная закладка хардварь.
     
     
  • 2.64, Gogi (??), 19:19, 24/04/2020 [^] [^^] [^^^] [ответить]  
    		• +/
    *побежал выкидывать тостер*
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру