Потужність Пропонувати відтворювані збірки в Linux є ознакою прозорості та безпеки в якому різні дистрибутиви зараз працюють і які інші вже пропонують.
Важливість цього полягає в тому, що це дозволяє як розробники, дослідники, так і користувачі переконайтеся, що розподілений двійковий файл створено правильно з наданого вихідного коду та не змінювався.
трохи порадились документація Linux, ми можемо зрозуміти, що:
Як правило, бажано, щоб побудова того самого вихідного коду з тим самим набором інструментів була відтворюваною, тобто щоб результат завжди був абсолютно однаковим. Це дає змогу переконатися, що інфраструктура збірки для двійкового дистрибутива або вбудованої системи не була підірвана. Це також може полегшити перевірку того, що зміна джерела чи інструменту не впливає на отримані двійкові файли.
А у випадку Linux і загалом у всьому програмному забезпеченні з відкритим кодом відтворювані компіляції необхідні для того, щоб спільнота могла перевірити та перевірити програмне забезпечення Крім того, це дозволяє нам виявляти шкідливі зміни.
OpenSUSE Factory тепер пропонує відтворювані порозрядні збірки
Причиною згадки про це є те, що проект openSUSE представив підтримку побітових відтворюваних збірок вашого сховища завод OpenSUSE, який є основою для дистрибутива openSUSE Tumbleweed.
Це оновлення Гарантує, що розподілені двійкові файли в упаковках генеруються послідовно з наданого вихідного коду, без включення прихованих змін, і, як ми вже згадували, перевага цього полягає в тому, що будь-який користувач може самостійно переконатися, що запропоновані збірки точно відповідають збіркам, згенерованим із вихідних кодів.
Останнім прикладом є те, що відтворювані збірки дозволяють створити доказ, просто перебудувавши та порівнявши результат, того, що збірка GCC, вихідний код якої було отримано із зафіксованим xz, не була зафіксована; Цей процес було здійснено без необхідності зворотного проектування того, як стався компроміс. Подібним чином повідомлялося, що відтворювані збірки були корисними під час розслідування компромісу xz
Грабельні збірки досягаються завдяки врахуванню таких деталей, як точність у залежностях, використовуючи однакові версії та конфігурації інструментів збірки, ідентичний набір параметрів і налаштувань за замовчуванням, зберігаючи порядок файлів у збірці (з використанням узгоджених методів сортування) і вимкнення додавання непостійної інформації компілятором, як-от випадкових значень, посилання на шляхи до файлів, дата й час компіляції
Можливість перевірити двійковий файл забезпечує додатковий рівень безпеки не покладаючись виключно на довіру до інфраструктури компілятора. Це вкрай важливо, оскільки компрометація компілятора або інструментів збірки може призвести до вставки шкідливих елементів або прихованих змін до отриманих двійкових файлів.
Наприклад, розробники openSUSE використовували повторювані збірки для забезпечення цілісності двійкових файлів після відомого бекдор-інциденту, виявленого в пакеті xz. У цьому випадку скомпрометована бібліотека liblzma, яка використовується для розпакування файлів із кодом GCC, могла внести шкідливі зміни в код GCC, що, у свою чергу, могло вплинути на зібрані програми.
Важливо зазначити, що репозиторій Factory призначений не для кінцевих користувачів, а в першу чергу для розробників дистрибутивів. Це пояснюється тим, що його стабільність не завжди гарантована.
Пакети, додані до Factory, проходять автоматичне тестування за допомогою openQA. Після завершення цих тестів і перевірки узгодженості стану залежності вміст сховища синхронізується з дзеркалами кілька разів на тиждень. Кінцевим результатом цього процесу є випуск openSUSE Tumbleweed, який є стабільним і надійним дистрибутивом, яким кінцеві користувачі можуть впевнено користуватися.
Якщо ви є цікаво дізнатися про це більше, Ви можете перевірити деталі У наступному посиланні.