https://www.opennet.ru/openforum/vsluhforumID3/110510.html Проект NetBSD объявил (http://blog.netbsd.org/tnf/entry/netbsd_fully_reproducible_builds) о реализации возможности осуществления повторяемых сборок, позволяющих убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Повторяемые сборки пока поддерживаются только для архитектур amd64 и sparc64. <br><br><br><br>Похожие инициативы развиваются (https://reproducible-builds.org/) проектами FreeBSD, Debian, Fedora, Ubuntu, Tails, OpenWrt, LEDE, openSUSE и Arch Linux. Например, во FreeBSD уже обеспечена (https://wiki.freebsd.org/ReproducibleBuilds) возможность повторяемой сборки базовой системы и примерно 80% портов, а в Debian Testing повторяемые сборки реализованы (https://tests.reproducible-builds.org/debian/reproducible.html) для более чем 90% пакетов.<br><br><br><br><br>Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сб https://www.opennet.ru/openforum/vsluhforumID3/110510.html#40 Sat, 25 Feb 2017 09:20:56 GMT Если вы выпускаете продукт на базе дистрибутива (это куда удобнее и дешевле, чем собирать всё с нуля) -- скажем, навигационную систему для танкеров, то страховаться от неприятностей -- не такая уж и паранойя. Шансов на неприятность, может, и мало, но вот потенциальный ущерб уж очень велик.<br> https://www.opennet.ru/openforum/vsluhforumID3/110510.html#39 Sat, 25 Feb 2017 09:15:41 GMT Так потому, что в новости сказано о строгом соблюдении последовательности. Хотя в теории, конечно, хуже от -j 4 вроде бы и не станет. Но то теория...<br> https://www.opennet.ru/openforum/vsluhforumID3/110510.html#38 Wed, 22 Feb 2017 16:28:44 GMT &gt;&gt; Я не одобряю <br>&gt;&gt;пусть пересобирает <br>&gt;&gt; Людям хватает просто <br>&gt; Отл! Ну, хоть кто-то но опенете знает, что надо людЯм. &lt;/отлегло&gt; <br>&gt; //Из соседняя палата обеспокоена: "Ах! Боже мой! Что станет говорить Княгиня Марья <br>&gt; Алексевна!" <br><br>Я не про то. Сообщество косвенно озадачило разработчиков на высший пилотаж. Ну возможно, ну можно повторить, но трата усилий ради какой-то идеалистической идеи? Зачем? Это уже искусство какое-то, а не производство.<br> https://www.opennet.ru/openforum/vsluhforumID3/110510.html#37 Wed, 22 Feb 2017 15:46:01 GMT &gt; Я не одобряю такую трату усилий.<br><br>Продолжайте держать нас в курсе, по мере появления новых вещей, которые вы не одобряете. Ваше мнение очень важно для нас.<br> https://www.opennet.ru/openforum/vsluhforumID3/110510.html#36 Wed, 22 Feb 2017 11:59:10 GMT &gt; Я не одобряю <br>&gt;пусть пересобирает<br>&gt; Людям хватает просто<br><br>Отл! Ну, хоть кто-то но опенете знает, что надо людЯм. &lt;/отлегло&gt;<br><br>//Из соседняя палата обеспокоена: "Ах! Боже мой! Что станет говорить Княгиня Марья Алексевна!"<br> https://www.opennet.ru/openforum/vsluhforumID3/110510.html#35 Wed, 22 Feb 2017 10:02:46 GMT Я не одобряю такую трату усилий. Если у кого-то паранойя, что его обманывают и он не доверяет репозиторию, пусть пересобирает world в генту. Людям хватает просто доверия к дистрибутивам.<br> https://www.opennet.ru/openforum/vsluhforumID3/110510.html#33 Wed, 22 Feb 2017 08:08:43 GMT &gt;&gt;Зачем это Gentoo?<br>&gt; Надо было, наверное, жирный знак *ИРОНИЯ* добавить.<br><br>Генте это надо [ну, мне так придумалось], чтоб и сборку у пользователя сделать, и "пакеты" одинаковые получались (хотя б в каких-то пределах) -- чтоб разрабы могли проще(?) пользователей поддерживать. Ну, типа, как в Debian-е?---<br><br>&gt; раздаёт бинарные пакеты на другие хосты. Такое часто делают в случае <br>&gt; множества однотипных серверов на Gentoo.<br><br>Воспроизводимая сборка для этого не нужна.<br><br>Я на своих серверах директории с софтом в /opt/$PACKAGE-$VERSION с-под configure-make-install таскаю _безо _всякой нужды в воспроизводимости.<br><br>.<br>.<br>.<br>Там наверху, наверное, непонятно написано? Речь про доверие -- проверил(*), убедился, сделал вывод о доверии(**) к [дистрибутиву? -ору? софту-пакету...].<br><br>(*)Или тот, кому ты доверяешь, сказал тебе, что проверил - и подтвердил, воспроизводимо. Например, к бинарному пакету из какого Debian-а или NetBSD.<br>(**)о степени доверия! Не да/нет и не "фича", а больше/меньше и процесс. И субъективнос https://www.opennet.ru/openforum/vsluhforumID3/110510.html#32 Tue, 21 Feb 2017 19:37:53 GMT полуразово имхо. встречный иск от разработчика и небольшой гешефт сверху за нарушение контракта )<br> https://www.opennet.ru/openforum/vsluhforumID3/110510.html#31 Tue, 21 Feb 2017 15:46:59 GMT &gt;Зачем это Gentoo?<br><br>Надо было, наверное, жирный знак *ИРОНИЯ* добавить.<br><br>Но, на самом деле, это можно использовать в случаях, когда сборка происходит только на одном из хостов в сети, который в свою очередь раздаёт бинарные пакеты на другие хосты. Такое часто делают в случае множества однотипных серверов на Gentoo.<br>