The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NixOS обеспечена поддержка повторяемых сборок для iso-образа

21.06.2021 09:42

Разработчики дистрибутива NixOS сообщили о реализации поддержки верификации целостности минимального iso-образа (iso_minimal.x86_64-linux) при помощи механизма повторяемых сборок. Ранее повторяемые сборки были доступны на уровне отдельных пакетов, а теперь расширены и для всего iso-образа. Любой пользователь может сформировать iso-образ, полностью идентичный с предоставляемым для загрузки iso-образом, и убедиться, что он собран из предоставляемых исходных текстов и не содержит скрытых изменений. Для автоматизации проверки iso-образа NixOS при помощи повторяемых сборок подготовлен специальный скрипт. На следующем этапе повторяемые сборки планируется обеспечить для полного iso-образа с рабочим столом GNOME.

Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают возможность самостоятельно проверить, что предлагаемые дистрибутивом сборки байт в байт совпадают со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок. Для обеспечения повторяемых сборок требуется воспроизвести инструментарий и параметры сборочного окружения, использовать идентичные версии программ, зависимостей и загрузочных компонентов, исключить внесение меняющихся данных (метки времени, случайные заполнители и т.п.), а также сохранить порядок сборки файлов и поставки пакетов в iso-образе.

Напомним, что дистрибутив NixOS основан на пакетном менеджере Nix и предоставляет ряд собственных разработок, упрощающих настройку и сопровождение системы. Например, в NixOS используется единый файл системной конфигурации (configuration.nix), предоставляется возможность быстрого отката обновлений, присутствует поддержка переключения между различными состояниями системы, поддерживается установка индивидуальных пакетов отдельными пользователями (пакет ставится в домашний каталог) и возможна одновременная установка нескольких версий одной программы. При использовании Nix пакеты устанавливаются в отдельное дерево директорий /nix/store или поддиректорию в каталоге пользователя. Например, пакет устанавливается как /nix/store/f2b5...8a563-firefox-89.0.1/, где "f2b5..." является уникальным идентификатором пакета, используемым для контроля зависимостей.

Пакеты оформляются в виде контейнеров, содержащих необходимые для работы приложений компоненты. Между пакетами возможно определение зависимостей, при этом для поиска наличия уже установленных зависимостей используется сканирование хэшей-идентификаторов в директории установленных пакетов. Возможна как загрузка готовых бинарных пакетов из репозитория (при установке обновлений к бинарным пакетам загружаются только delta-изменения), так и сборка из исходных текстов со всеми зависимостями. Коллекция пакетов представлена в специальном репозитории Nixpkgs.

  1. Главная ссылка к новости (https://discourse.nixos.org/t/...)
  2. OpenNews: Доступен rebuilderd для независимой верификации Arch Linux при помощи повторяемых сборок
  3. OpenNews: Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage
  4. OpenNews: Для 94% пакетов Debian обеспечена возможность повторяемой сборки
  5. OpenNews: В NetBSD обеспечена поддержка повторяемых сборок
  6. OpenNews: Выпуск дистрибутива NixOS 21.05, использующего пакетный менеджер Nix
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/55362-nixos
Ключевые слова: nixos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (84) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:03, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Круто! 👍
     
     
  • 2.18, Аноним (18), 12:11, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не то слово. У них даже быстрая установка самая необычная. Никуда лезть не нужно, а сразу

    The quickest way to install Nix is to open a terminal and run the following command (as a user other than root with sudo permission):
    Скорейший путь установки Nix - открыть терминал и запустить следующую команду (как пользовать отличающийся от root с разрешениями sudo)

    $ curl -L https://nixos.org/nix/install | sh

    (вот тут странно, ибо $ это обычный пользователь, так что либо эту команду из-под root с приглашением # или добавить sudo).

    Make sure to follow the instructions output by the script.
    Следуйте инструкциям, которые выводит скрипт.

    The installation script requires that you have sudo access to root.
    Скрипт установки требует доступа через sudo к root.

     
     
  • 3.23, Аноним (23), 13:29, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Лично меня всегда нервировали хомячковые скрипты -- никогда не знаешь, что они сломают в этот раз.
     
     
  • 4.25, Аноним (18), 13:44, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но ведь это то же самое что netinstall из работающей системе я так понял. Это официальный скрипт. Конечно всегда лучше руками разбить диск и вручную все поставить как в Gentoo. Но nix же немного ближе к пользователю.
     
     
  • 5.52, Аноним (52), 17:30, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это Nix а не NixOS.
     
     
  • 6.56, Аноним (18), 19:30, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всем и так понятно о чем речь в новости про NixOS. Это делается чтобы не загаживать ненужной информацией. Кому-то нравится SailfishOS, а кому-то Аврора. Дошло надеюсь.
     
  • 4.58, Анто Нимно (?), 20:23, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Лично меня всегда нервировали хомячковые скрипты -- никогда не знаешь, что они сломают в этот раз.

    Они из энтерпрайза. Глянь питон мэнеджер LVM у Красно Шапки. Вот там уже стрёмно.

    А хомки частенько годно скриптуют, ибо для себя, а не для чужой халтуры.

     
  • 3.35, КО (?), 15:10, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    "Быстрая"
    "Следуйте инструкциям"
    Типичный линух
     
     
  • 4.51, Аноним (18), 17:27, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не линух, а линукс. Бездарь, даже выучить такие простые вещи не в состоянии. И да в шинде установщик действует ровно точно так же. Массовая установка это для корпораций, то есть для лютого энтерпрайза с тысячами компов. И да линукс можно установить вручную без инструкций. И это нормально. Хоть полностью из исходных текстов. Только вот не повторяй тупость про типичный линукс.
     
  • 3.70, Аноним (70), 08:25, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Запускать напрямую скрипты из интернета без проверки печально, хотя этого разгильдяйства становится все больше.
     
     
  • 4.90, rinat85 (ok), 09:24, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А кто-то требует _не_ проверять скрипт? Или кто-то блокирует возможность его почитать?
     
  • 2.57, Пиггг (?), 19:56, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кому вообще интресно это? Чем это лучше Генты?
     

  • 1.2, Жироватт (ok), 10:04, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос на миллион - зачем вообще оно надо?
    Не, переформулирую вопрос: в каком сценарии преимущества никса становятся киллерфичами? Ну кроме спавнящихся образов виртуалок у облачных провайдеров.
     
     
  • 2.11, n00by (ok), 11:15, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Знаю человека, который установил NixOS + XMonad и в результате выучил Haskell первым языком. Считает себя начинающим пользователем.

    Знаю нескольких человек, которые изучили единственным языком bash и считают себя программистами операционных систем. Пишут код, который представляет опасность для окружающих (например, удаление initramfs от установленных в дуалбуте ОС https://www.opennet.ru/openforum/vsluhforumID3/124517.html#116 при обновлении systemd)

    Можно сколь угодно критиковать Haskell за синтаксис и академичность, но язык учит формализовать и алгоритмизировать задачи, даёт солидную базу, а не иллюзию знаний и тяп ляп и в продакшен.

    Смысл существования NixOS и подобных ОС не в киллер-фичах, а в подготовке квалифицированных специалистов.

     
  • 2.14, Дворник (??), 11:47, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > в каком сценарии преимущества никса становятся киллерфичами?

    Ну, например, в случае патологической лени при необходимости поддержания, модификации и быстрого развёртывания множества несвязанных друг с другом серверов.

    $ cat ~/.ssh/config | grep -E '^Host' | wc -l
    489

     
     
  • 3.29, RomanCh (ok), 14:04, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну, например, в случае патологической лени

    Это видимо не про вас, вы слишком не ленивый человек. Вместо одной команды три написали.

     
     
  • 4.31, n00by (ok), 14:09, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зато в чуть более сложной ситуации, когда "ленивые" проштудируют 68 man-ов и не найдут там подходящих ключей, он так же машинально напишет новую программу.
     
     
  • 5.32, RomanCh (ok), 14:12, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нууу, мне кажется сложно не найти -c и то что grep тоже умеет читать файл сам, а не только из stdin.

    Но конечно да, тогда велосипедостроение окажется под ударом.

    Хотя, глядя на тенденции, я думаю что велосипедостроение в безопасности.

     
     
  • 6.34, n00by (ok), 15:09, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не знаю про ключ --count Принципиально не забиваю таким голову Запомнил grep... большой текст свёрнут, показать
     
     
  • 7.50, Аноним84701 (ok), 17:20, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  А если здесь вместо файла stdin? Они же приводят решение на OCaml без повторного чтения




    >   let () =
    >      with_output_file "bench_baseline.txt" @@ fun chbase ->
    >      with_output_file "bench_staged.txt" @@ fun chstaged ->
    >
    >      for_each_line ~fname:"bench_result.txt" @@ fun l ->
    >      l |> cases [
    >       optthen (strstr "baseline") (fun _ -> print ~ch:chbase [l]);
    >       optthen (strstr "staged")   (fun _ -> print ~ch:chstaged [l]);
    >       fun l -> Some (print_endline l)      (* default case *)
    >      ]




    >> (по ссылке) ... a lightweight and less idiosyncratic replacement for AWK ...

    Кхе. На "заменяемом" AWK:


    |awk '/baseline/{print $0 > "bench_baseline.txt";next} /staged/{print $0 >"staged.txt";next}{print $0}'

     
     
  • 8.71, n00by (ok), 08:50, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо Только bench_staged txt вместо staged txt Тем не менее, ключами grep э... текст свёрнут, показать
     
  • 4.41, Дворник (??), 15:56, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я слишком ленивый, чтобы искать в манах неочевидные фичи, и вообще чтобы заранее думать, что я хочу от команды получить. Начинаю с cat-а, по ходу дальше пальцы сами что-то допечатывают...
     
     
  • 5.54, Аноним (54), 18:27, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    egrep -c '^Host' ~/.ssh/config
     
     
  • 6.64, Дворник (??), 22:29, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А Волга впадает в Каспийское море.

    Вы слишком серьёзны, господа. "Это печально" (с)

     
  • 4.47, Дворник (??), 16:36, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И вообще, вот вам, оптимизатором, живите теперь с этим:
    $ strace urxvt 2>&1 | grep -E '^stat.+site_perl' | wc -l
    43423
     
     
  • 5.48, Дворник (??), 16:39, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    $ echo $PERL5LIB | wc
          1       1    8994
     
  • 5.53, RomanCh (ok), 17:48, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А потом такое уходит в прод в виде ынтыпрайс решений за деньги, и когда оно ломается, то ... Ничего хорошего.
     
     
  • 6.62, Дворник (??), 22:22, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ежели найдётся работничек, засунувший подобное в прод, многое будет зависеть от его таланта.

    Но бывает и хуже, когда эффективные методы ведения бизнеса тащут во все дыры, и даже в личную жизнь.

     
     
  • 7.74, RomanCh (ok), 10:21, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну ежели найдётся работничек, засунувший подобное в прод, многое будет зависеть от его таланта.

    Находятся работнички которые протаскивают такое в решения которые эффективные бизнесы потом продают за хорошие деньги. Лично от этого страдал и вероятно, ещё пострадаю.

    Потому теперь я ещё более нетерпимо отношусь к однострочникам вроде вашего вышедшими за пределы разового запуска на localhost. Вчера вы его напечатали здесь, завтра васян из очередной модной конторы делающей ынтыпрайс запостит это на стековерфлоу и получит зелёную галочку, а послезавтра оно придёт мне в проде.

     
     
  • 8.75, n00by (ok), 10:43, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так дело не в односторочниках Если кто-то обладает достаточными знаниями, что б... текст свёрнут, показать
     
     
  • 9.76, RomanCh (ok), 10:50, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению, мой опыт показывает что случайно оказавшиеся не на своём месте гора... большой текст свёрнут, показать
     
     
  • 10.78, n00by (ok), 11:06, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это всё и объясняет В работе программиста такой операции нет И нет строк ... текст свёрнут, показать
     
     
  • 11.79, RomanCh (ok), 12:17, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так я ничего против не имею Но мне плохо от того когда такое попадает на просто... большой текст свёрнут, показать
     
     
  • 12.80, n00by (ok), 13:33, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Программист не может взять такое с просторов Интернета и скопировать По той про... большой текст свёрнут, показать
     
     
  • 13.81, RomanCh (ok), 14:03, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, вы живёте в каком-то заповеднике Возможно, в заповеднике троллей... большой текст свёрнут, показать
     
     
  • 14.83, n00by (ok), 15:50, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я действительно несколько испорчен, если можно так выразиться, человечески... текст свёрнут, показать
     
  • 4.59, Анто Нимно (?), 20:26, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну, например, в случае патологической лени
    >Это видимо не про вас, вы слишком не ленивый человек. Вместо одной команды три написали.

    Это просто умеет конструировать. Вместо готовой тулы готов и способен своё делать. Более высокая ступень (иногда), чем работа "в одну команду".

     
     
  • 5.61, RomanCh (ok), 21:41, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это просто умеет конструировать. Вместо готовой тулы готов и способен своё делать.

    А что тогда не что-нибудь вроде:
    > perl -ne '/^Host/ && $n++; END { print "$n\n"}' < ~/.ssh/config

    ?

    > Более высокая ступень (иногда), чем работа "в одну команду".

    Более высокая ступень, это когда конструирование включается там где оно действительно нужно. Иначе это велосипедирование, и чаще всего - избыточная трата ресурсов. В результате современные компьютеры работают так, будто они на бобинах и чём-то типа 8080 процессоров. "Это печально" (С)

     
     
  • 6.65, Annoynymous (ok), 22:42, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Иначе это велосипедирование, и чаще всего - избыточная трата ресурсов

    Подъём штанги - тоже избыточная трата ресурсов. Как и бег по парку, езда на велосипеде, походы в горы, танцы и ещё много всяких других активностей.

    Проблема в том, что в отличие от компьютеров, людей надо тренировать, поэтому избыточная трата ресурсов должна быть регулярной.

     
     
  • 7.73, RomanCh (ok), 10:16, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Проблема в том, что в отличие от компьютеров, людей надо тренировать, поэтому
    > избыточная трата ресурсов должна быть регулярной.

    Ну и сравнения... Но коли уж у вас пошли сравнения с тренировками, то пример выше - это всё равно что становую тягу делать с согнутой спиной, бегать втыкаясь пяткой, ездить на спущенных колёсах и ходить в поход с пакетами из Пятёрочки.

    Нормальная же тренировка для человека это не избыточная трата ресурсов а поддержание системы в хорошем состоянии. Примерно как обновления в ОС регулярно ставить и домашний компьютер время от времени пылесосить.

    > и ещё много всяких других активностей

    Тут хочется сказать: "так не можно говорить по русский язык"

     
  • 2.19, Аноним (19), 12:42, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С точки зрения простого пользователя Nix Guix имеют самую здравую и более сове... большой текст свёрнут, показать
     
  • 2.43, Ю.Т. (?), 16:03, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В сценарии, когда (если) дистры начнут терять персонал.
     

  • 1.4, Аноним (4), 10:06, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Уже столько лет дистрибутиву, а архитектур как было две, так и есть (64 и 32). Когда уже хотя бы arm станут официально поддерживать и вытащат загрузку образа на главную с ним?
     
     
  • 2.6, Аноним (6), 10:10, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда ты им денег дашь. Пока что разрабы сидят на amd64.

    Кстати, ia32 они вроде прибили. Потому что оно сдохло.

     
     
  • 3.27, Дегенератор (ok), 13:53, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То есть идея - пофиг. Почему тогда МС плохой - а эти круто?
     
     
  • 4.42, 1111 (??), 15:59, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >То есть идея - пофиг. Почему тогда МС плохой - а эти круто?

    какую идею придумал пофиг  кто это такой? мс плохой по определению

     
     
  • 5.44, Дегенератор (ok), 16:10, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>То есть идея - пофиг. Почему тогда МС плохой - а эти круто?
    > какую идею придумал пофиг  кто это такой? мс плохой по определению

    тот кто тупой по определению

     
  • 2.7, Аноним (7), 10:28, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://mobile.nixos.org/devices/pine64-pinephone.html
     
  • 2.8, Аноним (7), 10:29, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нету на главной, ибо АРМ -- это помойка из разных костылей. На ПК эти костыли хотя бы унифицированы.
     
     
  • 3.85, Michael Shigorin (ok), 16:38, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нету на главной, ибо АРМ -- это помойка из разных костылей.

    Её тоже понемножку унифицируют; не скажу за картину по всем дистрибутивам общего назначения, у которых при этом есть армовые репозитории, но как минимум getalt.ru/simply можно поставить довольно много на что (причём соотношения "одна железка -- один образ" уже нет).

     
  • 2.10, Анонюм (?), 11:05, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Столько лет человеку, а он всё равно пишет не проверяя свои слова и создавая информационный шум, сбивающий с толку остальных, это читающих.
    Загляните в мануал и прочитайте, aarch64 (а это RPi4, если вы не читали и про это) официально поддерживается и достаточно давно.
     
     
  • 3.21, макпыф (ok), 12:51, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну может человек хочет 32-битный arm

    или чтобы это была первая ссылка на главной странице большим жирным шрифтом

     
  • 3.22, Анонюм (?), 13:11, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Классная фотка, тёска!
     
     
  • 4.33, Аноним (33), 14:20, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    тёзка
     
  • 3.24, Аноним (24), 13:39, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Аноним — не человек.
     
  • 3.28, Дегенератор (ok), 13:55, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Очень такое понятное, не вводящее в заблуждение название...
     
  • 3.86, Аноним (86), 16:45, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сборка бинарных пакетов не равно официальная поддержка и наличие iso установщика. Толку-то от наличия этих aarch64 бинарников?
     
     
  • 4.87, Анонюм (?), 17:06, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Сборка бинарных пакетов не равно официальная поддержка и наличие iso установщика. Толку-то
    > от наличия этих aarch64 бинарников?

    Ловко-ловко, выкрутиться и придумать iso-образы для aarch64. И вновь шум, и вновь человеку с улицы покажется, что вы написали что-то вполне разумное, аргументированное даже. Вам ведь тоже так показалось?
    А теперь поищем официальные iso-образы у гигантов и любимчиков толпы. Ubuntu? Arch? Ой, а где они? Повлияло ли это на распространение этих проектов на aarch64? То-то.
    Но у NixOS, конечно же должны быть иначе даже и рассматривать это проект не стоит! Сразу в помойку. Пакеты суют мне какие-то тут.
    Меж тем образы вполне есть и даже собираются для вас совершенно бесплатно раз в день. Инфраструктура у проекта очень даже неплохая и работает, хорошо работает даже без учёта его малого размера: https://hydra.nixos.org/job/nixos/release-20.09/nixos.sd_image.aarch64-linux (это LTS). Я собираю сам и это очень просто, прям в докере.

     
     
  • 5.88, Аноним (4), 20:19, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    К вашему сведению, Ubuntu имеет образ: https://ubuntu.com/download/server/arm
    Arch – дистрибутив одной архитектуры. Есть неофициальный форк под arm, да.
    Но лучше бы вы обратили внимание на Debian. Там iso или rootfs есть для каждой поддерживаемой архитектуры. И их там не 2 и не 3, а уже к 20 приближается.
    И нет, я нигде не писал, что отсутствие iso и официальной поддержки препятствует установке на иных архитектурах. Просто это становится менее удобнее, по сравнению с наличием.
     
  • 2.15, Дворник (??), 12:01, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, ну не надо, оно есть и вполне работает, хоть и с особенностями. Например, nixos-rebuild switch на малинке без свопа просто никогда не завершится, а со свопом, нуу, приходится очень долго ждать.
     

  • 1.9, Аноним (9), 10:29, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А как они раньше без повторяемости жили? Там же всё по хэшам. Или это не хэши?
     
     
  • 2.12, n00by (ok), 11:21, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятно, там считается хеш не исполняемых файлов, а части графа зависимостей.
     
  • 2.17, morphe (?), 12:09, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По хешам там загружаемые из интернета файлы, при компиляции могут получиться невоспроизводимые билды из-за зависимостей пакетов от таймингов/фич процессора/текущей даты-времени/прочего
     
     
  • 3.20, Аноним (20), 12:46, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > По хешам там загружаемые из интернета файлы, при компиляции могут получиться невоспроизводимые
    > билды из-за зависимостей пакетов от таймингов/фич процессора/текущей даты-времени/прочего

    Так там про это и написано, что решается этот момент, с влиянием этих данных на повторяемость, как решается это другой вопрос, но они утверждают, что решается.

     
  • 2.36, Аноним (36), 15:20, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это - хэши. Но уже скомпиленных файлов. Они не меняется же просто так. Как ты своем пакетном манагере если пакет поставил, то там те же файлы (и их хэши), что будут и на соседнем компе.
    Воспроизводимость пакетов даёт возможность саомму собрать точно такой пакет (и тогда у него да, будет такой точно хэш).
     
     
  • 3.84, NULL (??), 15:52, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это не хэши скомпиленных файлов. Это хэши всего, что нужно для получения скомпиленных файлов.
     
  • 2.82, NULL (??), 15:50, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По умолчанию по хэшам инпута (грубо говоря, совокупности билд скриптов пакета и всех его зависимостей со всеми значениями всех переменных, при неизменности которых теоретически результат сборки должен быть неизменным), а не аутпута (т. е. содержимого пакетов).
     

  • 1.16, Дворник (??), 12:03, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, это чудо способно создать iso-образ прямо из конфигурации работающей системы, со всеми накопленными за годы гостылями и извращениями. Иногда бывает полезно.
     
     
  • 2.60, scor (ok), 20:26, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Способно. И именно потому, что там нет ни костылей ни извращений, которые способны копиться годами.
     
     
  • 3.63, Дворник (??), 22:28, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это с чего спорно-то? Костыли и извращения, они-таки в конфигах конкретной системы накопились, и явно не зря.
     
     
  • 4.66, scor (ok), 23:15, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это с чего спорно-то?

    Это о чём?:)

    > Костыли и извращения, они-таки в конфигах конкретной системы
    > накопились, и явно не зря.

    Тут концепция другая. Тут почти весь /etc примонтирован в RO. И потому все "костыли" вынуждено попадают в /etc/nixos/configuration.nix, из которой и строится стейт всей системы с пакетами, их конфигами, скриптами и вот этим вот всем. И нет никакой разницы собирать из этого конфига рабочую систему, делать исошник, или разворачивать её на виртуалках/докерах/облаках. Весь смысл в том, что нет никаких туевых хуч скриптиков, которые раскиданы по всей ФС, и которые правят косяки опакеченного софта. Вся конфигурация помещена в, формально, два файла с инклюдами по ситуации: один задаёт параметры софта, второй задаёт параметры "железа".

     
     
  • 5.67, Дворник (??), 23:44, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это о чём?:)

    Вот и я не пойму, о чём спор. Мой nixos строится c 2017 года, и много уж успел повидать.

    И да, в один файл такое при всём желании не засунуть.

     
     
  • 6.68, scor (ok), 00:28, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это о чём?:)
    > Вот и я не пойму,

    бывает:)

    > о чём спор.

    если не читать, что пишет собеседник, то тоже бывает.:)

    >Мой nixos строится c 2017 года, и много уж успел повидать.

    ну и слава КПСС!

    > И да, в один файл такое при всём желании не засунуть.

    У всех как-то помещается, а тут вона чего.:)

     
     
  • 7.69, Дворник (??), 02:26, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Неразумно считать себя понимающим всё и вся; эта мудрость порой приходит со временем.
     
  • 6.89, Аноним (36), 12:29, 24/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не понимаешь о чём спор потому, что ты слово "способно", читаешь как слово "спорно". Ну а дальше, как это часто бывает, уже ведешь спор не с собеседником, а с голосами в своей голове, которые тебе и нашептали "спорно".
     

  • 1.26, Аноним (26), 13:52, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    нужно больше дистрибутивов:)
     
  • 1.30, Минона (ok), 14:05, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >На следующем этапе повторяемые сборки планируется обеспечить для полного iso-образа с рабочим столом GNOME.

    как гном? они же кде-шниками были.

     
  • 1.37, Аноним (37), 15:37, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как-то я не понял этого вывода Ну то есть зачем качать откуда-то ISO, а потом с... большой текст свёрнут, показать
     
     
  • 2.38, Ordu (ok), 15:47, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если есть простой способ проверить хешсуммы, то кто-нибудь это сделает. И если там будет несовпадение, то об этом станет известно. Если об этом ничего не известно, то тут одна из ситуаций, когда "отсутствие свидетельства -- свидительство отсутствия". Не доказательство, но свидетельство.

    Несовпадения могут возникать по разным причинам, и не все они связаны со злоумышленностью мейнеров дистрибутива. Воспроизводимые сборки позволяют сделать невозможными многие сценарии внедрения закладок в софт, в том числе и некоторые связанные со злоумышленностью. Скажем, взять и опубликовать одни сорцы, а скомпилировать другие -- это не сработает. Закладку придётся публиковать в сорцах. А это значит, что кто-то может сделать diff между апстримом и сорцами nix, увидеть разницу, и найти закладку.

     
     
  • 3.39, Аноним (37), 15:52, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть для обычных пользователей это лишь даёт надежду, что некто доброволец скомпилит исо, проверит хеши и в случае несовпадения успеет поднять шумиху до того момента, как юзер скачал исо и поставил систему.
     
     
  • 4.45, Аноним (36), 16:17, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Простым юзерам и открытые сырцы "дают лишь только надежду". Потому, что они по определению - простые юзеры и в сырцы не смотрят. И проги не компиляют сами.
     
  • 4.46, Ordu (ok), 16:23, 21/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну то есть для обычных пользователей это лишь даёт надежду, что некто
    > доброволец скомпилит исо, проверит хеши и в случае несовпадения успеет поднять
    > шумиху до того момента, как юзер скачал исо и поставил систему.

    Да. Но если тебя интересует безопасноть, то ты же не будешь пытаться оценить её по _одному_ критерию? Ты соберёшь максимум информации о проекте. Посмотришь на то, как ведётся разработка, что там за issues, feature-requests, как идёт обсуждение, сбор информации, как принимаются решения, как они исполняются и внедряются. Где какие чекпоинты есть. Сколько людей вовлечено в принятие решений. Насколько процесс открыт. Кто пользуется проектом. Есть ли какие-то независимые (от основных разработчиков) сервисы, занятые в режиме непрерывной интеграции проверкой воспроизводимых сборок. бла-бла-бла...

    Ты посмотришь на всё это, если у тебе действительно нужна безопасность и есть хоть капля мозга. И в этом случае, воспроизводимые сборки -- это охрененный бонус, потому что они дают возможность внешней проверки работы мейнтейнеров. На самом деле, сама по себе возможность говорит нам о том, что мейнтейнеры пошли на выполнение довольно сложных работ, по отслеживанию всех прямых и косвенных депендансов, то есть нет никаких неизвестных им факторов, влияющих на содержимое финальных бинарей.

     

  • 1.40, Аноним (40), 15:56, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С разморозкой.
     
  • 1.49, Аноним (49), 16:45, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так и не смог заставить работать libvirt-хуки под NixOS. Так бы был моим основным дистрибутивом, но, видимо, не судьба.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру