Разработчики Debian подвели итоги (https://lists.debian.org/debian-devel-announce/2017/07/msg00...) трёх лет работы над обеспечением повторяемых сборок пакетов в дистрибутиве. В настоящее время обеспечена (https://tests.reproducible-builds.org/debian/reproducible.html) повторяемость сборки 94% пакетов в репозитории Debian Stretch/amd64, в сумме насчитывающем 24822 пакетов. Для около 1300 пакетов поддержка повторяемых сборок пока не доступна, но для многих из них уже подготовлены патчи, решающие проблему, которые пока не рассмотрены сопровождающими пакетов.
Проделана большая работа по созданию файлов .buildinfo (https://buildinfo.debian.net/) с описанием специфики базового сборочного окружения для различных бинарных пакетов, которое необходимо воссоздать для генерации идентичного исполняемого файла. Обычно в .buildinfo приводится такая сопутствующая информация, как точные версии пакетов-зависимостей, устанавливаемая при сборке локаль, эталонное время сборки и параметры запуска сборочного процесса. Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), исключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.
Напомним, что повторяемые сборки позволяют убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.URL: https://lists.debian.org/debian-devel-announce/2017/07/msg00...
Новость: http://www.opennet.me/opennews/art.shtml?num=46903
Чем только не занимаются люди, чтобы не разворачивать прозрачный сборочный кластер…
Возьмём launchpad, всё открыто, можем доверять пакетам оттуда? Нет. Прозрачно? Да.
Возьмём репозиторий debian — всё собрано и мы теперь почти всё можем проверить, что собрано так, как надо.
Я бы доверился LP (не лучший пример, если не худший, сборочного кластера), а не иллюзорной возможности собственноручно проверять пакеты дистрибутива.
Возможность проверить - не иллюзорная.
Необходимость доверять - необоснованная.
Подкинь хороших ссылок почитать про разворачивание сборочных кластеров?
http://openbuildservice.org
https://abf.io/
> http://openbuildservice.org
> https://abf.io/Вас же просили дать ссылки про разворачивание -- про OBS знаю, что это практически возможно, а вот существует ли более одного экземпляра ABF в мире -- сведений не имею.
OpenMandriva развернула: https://www.opennet.me/opennews/art.shtml?num=44269
Офигеть. А я-то думал, что в Debian такой проблемы нет. Впрочем, может, они заодно и Mono попинали в этом направлении, надо глянуть...
> Офигеть. А я-то думал, что в Debian такой проблемы нет. Впрочем, может,Уверены, что это именно та проблема, о которой Вы думали?
https://archive.fosdem.org/2015/schedule/event/stretching_ou.../
> они заодно и Mono попинали в этом направлении, надо глянуть...
Именно Debian должен быть национальным дистрибутивом! Не альты, росы, астры или еще какой черт, а именно он.
да, надо чтобы правительство выделило им грант. Астра хороша тем что базируется на дебе
Астра — пересборка Дэбиана за счет налогоплательщиков.
Ждем новость "Для 94% пакетов Astra Linux обеспечена возможность повторяемой сборки"
не будет такой новости, так как тогда можно будет выдать пакеты дебиана, за сертификацию которых астра не платит, за пакеты астры, за сертификацию которых астра платит.
> не будет такой новости, так как тогда можно будет выдать пакеты дебиана,
> за сертификацию которых астра не платит, за пакеты астры, за сертификацию
> которых астра платит.Вот только пакеты поштучно не являются поставляемым "товаром", сертификат у них тоже наверняка на дистрибутив в целом. Есть и другие "но", только этого уже достаточно.
>Астра — пересборка Дэбиана за счет налогоплательщиков.Ты похоже про "Астру" только слушал... База да Debian, но при этом свое DE, мандатная система контроля доступа и много чего ещё.
> но при этом свое DEЭто же какой свой DE?
> мандатная система контроля доступа и много чего ещё.
То есть, по-умолчанию включен SELinux/AppArmor? Большое
достижение, да!
С красной звездой вместо кнопки пуск. Серьезно.
А серпа и молота там случайно где не затесалось?
> Это же какой свой DE?Fly.
> То есть, по-умолчанию включен SELinux/AppArmor? Большое
достижение, да!
Там своя система.Откуда вы только беретесь такие? Не разбираешься - так помалкивай. Нет, обязательно нужно выставить себя идиотом, который ничего не знает, но мнение имеет.
>> но при этом свое DE
> Это же какой свой DE?На вид перекликается с KDE3, при беглом ощупывании скорее приятное, сильно не смотрел.
>> мандатная система контроля доступа и много чего ещё.
> То есть, по-умолчанию включен SELinux/AppArmor? Большое достижение, да!В том-то и дело, что нет, у них своя разработка (насколько понимаю, ведущая начало ещё от МСВС тех времён, когда его через гражданский брак с руководством не подмял под себя редхат с внедрением SE).
PS: Андрей, глупеешь на глазах -- раньше ведь поинтересовался бы наверняка до того, как писать. Обидно, слюшай.
> Астра — пересборка Дэбиана за счет налогоплательщиков.и это уже будет хорошо, правда если Астровцы будут делать на эти деньги сертификации (в том числе для апдейтов) и во всякие тендеры влезать
Тогда Ubuntu - это пересборка Debian за счет Шаттлворта.
> Астра — пересборка Дэбиана за счет налогоплательщиков.Астра — кривая пересборка Дэбиана за счет налогоплательщиков. (fix)
>> Астра — пересборка Дэбиана за счет налогоплательщиков.
> Астра — кривая пересборка Дэбиана за счет налогоплательщиков. (fix)Вообще-то Русбиттех -- тоже частная лавочка, насколько могу судить.
И вот так с этими либеральничающими всё: государственное учреждение -- плохо, нужен частник; частный бузинес -- опять плохо, деньги мифических налогоплательщиков.
Причём *настоящий* распил денег именно что налогоплательщиков на войны вдалеке от родных берегов и вооружения вроде “can’t turn, can’t climb, can’t run" у вас натыкается на этакую избирательную слепоту.
> Астра — пересборка ДэбианаАга, как же. Видел я Astra Smolensk. Там половину пакетов понадёргали из Debian (где-то времён Wheezy), половину из Ubuntu хз каких выпусков. А ещё там между минорными релизами даунгрейдят пакеты, и даже не утруждаются изменить эпоху. Нафиг-нафиг, мне такой "национальный Debian" не нужен.
Нам не нужен "национальный дистрибутив",как только такой появится-сразу запретят все остальные!Как-то так https://ru.wikipedia.org/wiki/Red_Star_OS. "Обрабатываемые и просматриваемые в дистрибутиве файлы помечаются уникальными скрытыми метками, которые могут применяться для отслеживания и выявления происхождения обрабатываемой пользователями информации"
> built an own kernel module named rtscanКак же всё тупо оказалось. То есть отключить это не составит труда. Или там всё анально огорожено?
Пусть лучше альты, росы и прочее дерьмо, еще не хватало чтобы российские чиновники начали лезть в дебиан, убунту, центось и прочие нормальные дистрибутивы.
Пусть лучше свое г делают и никуда не лезут.
> Именно Debian долженКому он ещё что должен и в курсе ли разработчики демьяна? Да, и что будем делать с софтпатентами, которых US-based Debian по умолчанию обязан признавать?
Начали бы вот такие радетели хоть с обеспечения коммерческой поддержки дебиана в России -- так нет, sudo.su уже загнулось :(
Проект Debian скоро научится использовать AUR. :D (Arch 42tw)
А зачем им помойка, если у них и так пакетов хватает?
> ... если у них и так пакетов хватает?Иногда пакетов своих нехватает.
> А зачем им помойка, ...
Если AUR это помойка, тогда почему пользователи её поддерживают?
> Иногда пакетов своих нехватает.Например? Мне не хватило только DeadBeef, но он есть в официально поддерживаемом, но всё же не родном, репозитории.
> Если AUR это помойка, тогда почему пользователи её поддерживают?
Вероятно пользователи Арча как еноты. Аналогию прослеживаете?
> Вероятно пользователи Арча как еноты. Аналогию прослеживаете?Зато нет беспорядка в /etc и знаем что работает, а что нет.
Да и автонастройка это зло. (Что нить вручную поменять хочешь, а ломается что-то третье.)
Хотя есть некоторые элементы которые лучше генерить, но с этом справляются сами программы которые пишут в AUR.
> Зато нет беспорядка в /etcНу с этим я даже соглашусь.
> и знаем что работает, а что нет.
Когда после обновления неожиданно отваливаются иксы? :)
> Что нить вручную поменять хочешь, а ломается что-то третье.Никогда такого в Дебьяне не было, но ладно, допустим такого не бывает на локалхосте.
> Хотя есть некоторые элементы которые лучше генерить, но с этом справляются сами
> программы которые пишут в AUR.Как бы в Дебьяне так же. Так в чём разница?
> Когда после обновления неожиданно отваливаются иксы? :)После установки пропериатрных nVidia дров. (as example)
> Никогда такого в Дебьяне не было, но ладно, допустим такого не бывает на локалхосте.
Это самые редчайшие случаи целиком завязанные на зависимостях.
> Как бы в Дебьяне так же. Так в чём разница?
Разница в подходе. (В Debian ты принужден к генерированию конфигов, а в Arch хочешь генерь хочешь нет.)
> После установки пропериатрных nVidia дров. (as example)К чему это? Я иронизировал по поводу "знаем, что всё работает".
> Это самые редчайшие случаи целиком завязанные на зависимостях.
Обычно apt разруливает зависимости или оставляет пользователю право делать что он захочет, но думать о последствиях. Мне кажется это логично, чай не Slackware.
> Разница в подходе. (В Debian ты принужден к генерированию конфигов, а в
> Arch хочешь генерь хочешь нет.)В принципе это так, да. Это разные дистрибутивы, но Debian часто сравнивают с Arch. Опять же, что после генерирования мешает мне изменить всё, что мне нужно?
> К чему это? Я иронизировал по поводу "знаем, что всё работает".Спасибо, но иронию судьбы мы уже смотрели и не раз.
> Обычно apt разруливает зависимости или оставляет пользователю право делать что он захочет, но думать о последствиях. Мне кажется это логично, чай не Slackware.
APT - не панацея. Страдают от конфигов в основе. (Configuration dependency)
> В принципе это так, да. Это разные дистрибутивы, но Debian часто сравнивают с Arch. Опять же, что после генерирования мешает мне изменить всё, что мне нужно?
После генерирования вам ничего не мешает это изменить. (Естественно configuration dependency не исключается.)
> (Configuration dependency)Опять же сообщаю, что apt предлагает либо изменить конфиг на более новый из пакета, либо оставить как есть, либо автоматическое вмешательство, либо смержить, либо ручное вмешательство (что я упустил). Так что не так то?
> Опять же сообщаю, что apt предлагает либо изменить конфиг на более новый из пакета, либо оставить как есть, либо автоматическое вмешательство, либо смержить, либо ручное вмешательство (что я упустил). Так что не так то?Не о том вы!
Изменение одного конфигурационного файла(одного приложения!) затрагивает изменение другого конфигурационного файла(другого приложения!). Если последний не меняется возникает определенного рода проблемы. (С этого и название configuration dependency)
APT с этого не заскулит и не скажет "а можно ли сделать это так или иначе".
> APT с этого не заскулит и не скажет "а можно ли сделать это так или иначе".И чем тут лучше арчик? Тем, что в нём менеджер этого рода зависимостей точно так же внешний?
> Если AUR это помойка, тогда почему пользователи её поддерживают?1) Потому что каникулы.
2) Потому что мало уроков задают.
> 1) Потому что каникулы.
> 2) Потому что мало уроков задают.Вы считаете пользователей ArchLinux детьми?
Это, пожалуй, самое важное направление в развитии открытого и свободного дистрибутива. Успехов в достижении и поддержании заветных 99,9(9)%!
Безопасность - это важно.
> Безопасность - этоЭто не про безопасность. Это перпендикулярно.
>99,9(9)Так писать нехорошо. Во-первых, почему период начинается ПОСЛЕ такой же цифры? Логичней написать 99,(9). А во-вторых, если присмотреться, то можно заметить, что эта запись тождественна 100. Ну и зачем писать такого монстра как 99,9(9) если можно ограничиться красивым числом 100?
> тождественнаНеуместное слово в данном контексте
Это ещё почему? Тождественность это полное совпадение всех свойств. Что мы и наблюдаем. Вид записи различный, но суть одинакова. Идеальный пример для иллюстрации тождественности.
Здесь нет полного совпадения свойств.
100% - это 100% и точка.
А 99,(9)% - всегда можно сказать, если что-то пошло не так,, что я же не гарантировал 100%-го результата...
Нельзя так сказать. Это лишь представление рационального числа в виде десятичной дроби со своим ограничением.
1/3 + 1/3 + 1/3 = ?
0.(3) + 0.(3) + 0.(3) = ?
1/9 = 0.(1)
2/9 = 0.(2)
......
8/9 = 0.(8)
9/9 = ?
А вообще, погугли почему 0.(9) == 1, есть множество других более строгих способов показать это.
1/3 + 1/3 + 1/3 = 1
0.(3) + 0.(3) + 0.(3) = 0.(9)?
......9/9 = 1
какие ещё варианты?
https://ru.wikipedia.org/wiki/0,(9)1 == 0.(9). Это одинаковые числа. Одно из доказательств - через пределы.
Лучше тогда писать 99.999, если уж на то пошло, иначе просто непонятно, что хотел сказать автор. То ли это уверенность на 100% с желанием показать, насколько автор много знает, то ли наоборот.
https://ru.wikipedia.org/wiki/0,(9)
https://wikimedia.org/api/rest_v1/media/math/render/svg/1de2...Что за действие в 3 строке? Откуда это равенство?
Это вторая строка минус первая.
максимальное какое возможно после 100 - 99.9959713158 - то при условии что из всей пакетной базы только один пакет не будет собираться повторно.
> максимальное какое возможно после 100 - 99.9959713158Ну хоть один практик нашёлся, браво!
>Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как...Вот это то и самое интересное и как настроить среду сборки reproducable build я нигде не нашел, мне кажется это know how людей делающих этот проэкт. Тогда мне оно "не нужно". Хотя diffoscope пригодился.
гм.. зачем если уже есть nixos? имхо там самое крутое управление окружением.
> гм.. зачем если уже есть nixos? имхо там самое крутое управление окружением.Тщательнее ищите разницу ! //...и проценты заодно поищите.
https://garbas.si/2016/reproducible-builds-summit-in-berlin....