The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов

10.05.2026 18:54 (MSK)

Команда, отвечающая за формирование релизов Debian, объявила о переводе воспроизводимой пересборки пакетов в число обязательных возможностей. Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление существующих пакетов, в которых выявлены регрессии с воспроизводимостью сборки.

В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% для архитектуры x86_64 и 96.8% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета (3%), а у 7952 пакетов (21%) возникли общие проблемы при компиляции из исходного кода.

Повторяемые сборки дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

  1. Главная ссылка к новости (https://lists.debian.org/debia...)
  2. OpenNews: В Arch Linux обеспечена воспроизводимая сборка образов контейнеров
  3. OpenNews: openSUSE тестирует поддержку повторяемых сборок
  4. OpenNews: В Live-образах Debian 12 реализована поддержка повторяемых сборок
  5. OpenNews: Утверждено обеспечение повторяемых сборок в Fedora 43
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65418-debian
Ключевые слова: debian
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:04, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +8 +/
    Хорошая новость.
     
     
  • 2.2, Аноним (1), 19:07, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    - мимо 10 лет дебианщица без единого дистрохоппинга и переустановки
     
     
  • 3.4, Аноним (1), 19:08, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    В смысле 10 лет на дебиане ))
     
     
  • 4.18, Аноним (18), 21:14, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    - А жетончик у вас есть? - поинтересовался молодой арчевод.
     

  • 1.3, Аноним (3), 19:07, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    Неужели пошли по пути никса
    Только на уровне политик а не тулчейна
     
     
  • 2.5, Аноним (5), 19:14, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    2017: https://opennet.ru/46903-debian
     
     
  • 3.7, Аноним (7), 19:27, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Прогресс: 2% за 9 лет.
     
     
  • 4.12, LaunchWiskey (ok), 20:08, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Вероятно прогресс был уже тогда, а те пакеты, что оставались - это заброшенные неуловимые Джо.
     

  • 1.6, Аноним (6), 19:16, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –5 +/
    В NixOs давно сделали красиво, дистр для дедов наконец решили сделать удобоваримым. Но как обычно нормально сделают лет через 5 мусола только
     
     
  • 2.17, Аноним (17), 20:43, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Если бы в никсе сохранили возможность работать через /etc а не через их портянкоконфиги...
     
     
  • 3.20, ТрактористТролль (?), 21:50, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >а не через их портянкоконфиги

    Да, примерно как всякие pkcon в Kde).

     
  • 2.27, cyberslug (?), 23:23, 10/05/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  • 1.8, Аноним (8), 19:29, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений.

    Ну это только при наличии у него всех тех точных условий сборки, версий ОС, версий библиотек, версий сборочных утилит и погоды на марсе.

     
     
  • 2.9, Аноним (9), 19:38, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    >> Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений.
    > Ну это только при наличии у него всех тех точных условий сборки, версий ОС, версий библиотек, версий сборочных утилит и погоды на марсе.

    То есть про изолированные сборочные окружения ты не слышал?

     

  • 1.10, Аноним (10), 19:50, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    У него крестовый поход против контейнеров.
     
  • 1.11, Аноним (11), 19:54, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Это же надо иметь точно такой же компилятор, как у дебиановцев. А если их компилятор будет плодить троянов в экзешник, то и твоя точная копия этого компилятора тоже наплодит троянов, идентичных натуральным с точностью до бита.
     
     
  • 2.14, Аноним (14), 20:34, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Они забыли про космическую радиацию!
     
  • 2.16, Аноним (16), 20:41, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Эта проблема решаема. Вначале берётся текущий компилятор из абсолютно любой системы. Им собирается версия из воспроизводимого окружения. На данный момент получается функционально одинаковое но не воспроизводимое окружение. Далее, этим окружением ещё раз собирается то же самое окружение, получая воспроизводимую сборку.
     
     
  • 3.21, Аноним (11), 22:02, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Им собирается версия из воспроизводимого окружения

    Кто может сделать полный 100% аудит исходников, что там нет закладок?

     
     
  • 4.24, Аноним (14), 22:15, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    а при чем здесь 100% аудит исходников?
    Ты качаешь исходники с серверов дебиана и сравниваешь с апстримом той же версии. Нашел закладку в исходниках дебиана — ты молодец, не нашел — идем дальше.
    Ты собираешь исходники из репозитория дебиана используя скрипты дебиана и по мануалу от дебинана, а потом сравниваешь полученный бинарь с бинарем в репозитории дебиана. Если бинари разные, то либо ты молодец, либо собрал не так как надо, если одинаковые — в дебиане молодцы и своих закладок не добавили
     
  • 2.26, Avririon (ok), 22:36, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Это хитрый план, что бы каждый пакет собирать с трояном. Пакеты без трояна будут признаны не заслуживающими доверия. Благодать.
     

  • 1.13, Аноним (13), 20:14, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > Повторяемые сборки дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками.

    RedHat одобряет!

     
  • 1.15, Аноним (16), 20:38, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    >Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборк
    >10.05.2026

    https://www.opennet.ru/opennews/art.shtml?num=39690
    >Вышел дистрибутив NixOS 14.04, использующий пакетный менеджер Nix
    >01.05.2014

    Это не первый релиз NixOS, но первый, о котором упоминается на opennet.
    https://www.opennet.ru/opennews/art.shtml?num=35418
    >Проект GNU начал развитие нового пакетного менеджера Guix
    >23.11.2012

    Более десяти лет дебиановцам потребовалось, для того, чтобы переизобрести одну единственную фичу nix/guix. Все остальные, до сих пор не изобретены. Хотя казалось бы, надо всего лишь навсего выкинуть dpkg/apt.

     
     
  • 2.23, 12yoexpert (ok), 22:05, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    нет никакого nix, проснись, ты на урок российского опаздываешь
     
  • 2.28, Аноним (28), 23:30, 10/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Так и знал, что весь этот ваш nix придуман ради одной единственной фичи.
     

  • 1.22, 12yoexpert (ok), 22:04, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    потом просто введут проверку установленного софта по хешсуммам и запретят что-нибудь делать из модифицированного софта, как гугель в соседнем топике
     
  • 1.25, Аноним (25), 22:27, 10/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Следующий шаг - воспроизводимый/верифицированный установщик дистрибутива.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру