The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Arch Linux обеспечена воспроизводимая сборка образов контейнеров

20.04.2026 21:52 (MSK)

Дистрибутив Arch Linux обеспечил воспроизводимую сборку образов контейнеров, позволяющую убедиться, что поставляемые в образе бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений. Воспроизводимые образы Arch Linux размещены в Docker Hub с тегом repro. Любой желающий может собрать из исходного кода образ контейнера бит в бит совпадающий с распространяемыми проектом готовыми образами, и убедиться, что сборочная инфраструктура дистрибутива, компилятор и сборочный инструментарий не скомпрометированы.

При формировании воспроизводимых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

Воспроизводимые образы поставляются отдельно так как для обеспечения полной воспроизводимости в их состав не включены ключи для пакетного менеджера pacman. При необходимости обновления или установки пакетов через pacman в данных образах требуется запуск команды для пересоздания хранилища ключей ("pacman-key --init && pacman-key --populate archlinux"). Для проверки идентичности собственной сборки с распространяемым через Docker Hub образом можно сравнить хэши, выдаваемые командой "podman inspect --format '{{.Digest}}' <image>", или воспользоваться утилитой diffoci.

  1. Главная ссылка к новости (https://lists.archlinux.org/ar...)
  2. OpenNews: Во FreeBSD обеспечена поддержка воспроизводимых сборок и сборки без прав root
  3. OpenNews: В NetBSD обеспечена поддержка повторяемых сборок
  4. OpenNews: В NixOS обеспечена поддержка повторяемых сборок для iso-образа
  5. OpenNews: openSUSE тестирует поддержку повторяемых сборок
  6. OpenNews: В Live-образах Debian 12 реализована поддержка повторяемых сборок
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65247-archilinux
Ключевые слова: archilinux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Профессор Кислвх Щей (?), 22:35, 20/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Правильно! Вот бы пакеты такие были
     
     
  • 2.3, Аноним (3), 22:48, 20/04/2026 [^] [^^] [^^^] [ответить]  
    		• –8 +/
    Не волнуйся, ради этого и делаются. В один прекрасный день ты узнаешь, что пакет с каким-нибудь dupes заменён на докер-контейнер на полгига, потому что "мешает болько б00мжам с музейными экспонатами i486", "надо двигаться дальше" и "есть более рациональные способы потратить время Сотрудников Дистрибутива, чем пердолинг с пакетами".
     
  • 2.7, Аноним (7), 00:34, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    86.2% - https://reproducible.archlinux.org/
     
     
  • 3.10, Аноним (10), 08:03, 21/04/2026 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     

  • 1.5, Аноним (5), 00:12, 21/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –7 +/
    Что только не придумают лишь бы пакеты из исходников не собирать.
     
     
  • 2.8, Аноним (8), 02:16, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    А мы использованные пакеты пакуем в другие пакеты и кладём их в контейнеры. По утрам приезжает большая машина и освобождает контейнеры. И тогда мы снова кладём в них пакеты.
     
     
  • 3.11, Аноним (10), 08:04, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Лучше так чем лапша кода слипшаяся в один целый комок.
     
  • 3.18, Аноним (18), 11:37, 21/04/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  • 1.12, Аноним (12), 09:57, 21/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Если нужно верифицировать пакет, то есть подписи. Зачем воспроизводимые сборки? Идентифицировать программы для трекинга?
     
     
  • 2.15, Bob (??), 10:23, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на любом дистре с произвольн†м DE. Независимо от того под чем изначально пилилась.

    Но на счёт безопасности - попадёт бэкдор и его спокойно потащат везде, обеспечив бинарное соответствие и запускаемость как у exe на винде. Контейнер подписан - можно хоть на уровне ядра запускать))

    Тут подход от F-Droid будет логичнее: сборка с сырцов заревьюренного apk под нужную архитектуру с полным набором зависимостей. Там и бэкдор выпилят (nekogram), и мусор выбросят (аналитика / реклама / метрики), и от всякой чертовщины отвяжут (gms). Родив действительно годный билд) Ещё дали им возможность split apk пилить - вообще имба была бы.

     
     
  • 3.19, Хру (?), 11:47, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А чем не устраивает один апк под олну архитектуру?
     
  • 2.20, Аноним (20), 12:07, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >Идентифицировать программы для трекинга?

    Для того, чтобы подтвердить, что программа собрана из тех исходников, которые выложены в общий доступ и не содержит в себе какого-то скрытого бекдора.

     
  • 2.22, Аноним (22), 12:42, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    А если подписали не совсем то, что должно бы соответствовать своим исходникам. Но джентльменам надо верить.
     

  • 1.13, sunjob (ok), 10:03, 21/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    linux from scratch помноженный на gentoo
     
  • 1.14, Bob (??), 10:14, 21/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Почему не сделать как с F-Droid?
    Воспроизводимый бинарник, с анализом сырцов?

    Недавно с Nekogram скандал был https://www.opennet.me/opennews/art.shtml?num=65130 и подход F-Droid позволил избежать бэкдора.

    Сейчас Arch собрал бы контейнер с бэкдором и выдал бы это за надёжное решение? - Потрясающе)

    p.s.: я понимаю Идею контейнеров, где с сырцов собираю аналог APK, который Везде Работает Полноценно. Но стоит добавить анализ самих сырцов, хотя бы через AI и делать минимальное ревью.
    p.p.s.: пересбор сырцов именно под Arch без контейнера просить - чрезмерно, понимаю. Разве что Вульву пинать, чтобы это всё тащила под свои Deck девайсы.

     
     
  • 2.16, Аноним (16), 10:25, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Не надо ничего делать как в фдроид, потому что фдроид - это глюкавая помойка. Причём, раздражает больше не то, что оно помойка, а то что она глюкавая.
     
  • 2.21, ВОВ (?), 12:27, 21/04/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Ты не особо умный в семье был, да?
     

  • 1.17, Аноним (20), 11:12, 21/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Шёл 2026 год, а арчеводы переизобретают NixOS.
     
  • 1.23, Аноним (23), 13:53, 21/04/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру