The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В NetBSD обеспечена поддержка повторяемых сборок"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от opennews on 20-Фев-17, 23:39 
Проект NetBSD объявил (http://blog.netbsd.org/tnf/entry/netbsd_fully_reproducible_b...) о реализации возможности осуществления повторяемых сборок, позволяющих убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Повторяемые сборки пока поддерживаются только для архитектур  amd64 и sparc64.

Похожие инициативы развиваются (https://reproducible-builds.org/) проектами FreeBSD, Debian, Fedora, Ubuntu, Tails, OpenWrt, LEDE, openSUSE и Arch Linux. Например, во FreeBSD уже обеспечена (https://wiki.freebsd.org/ReproducibleBuilds) возможность повторяемой сборки базовой системы и примерно 80% портов, а в Debian  Testing повторяемые сборки реализованы (https://tests.reproducible-builds.org/debian/reproducible.html) для более чем 90% пакетов.


Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают любому пользователю возможность убедиться в  том, что предлагаемые дистрибутивом сборки байт в байт совпадает со сборками, собранными лично из исходных текстов. Без возможности проверить тождественность бинарной сборки пользователю остаётся лишь слепо доверять чужой сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

Для обеспечения повторяемых сборок требуется учитывать множество нюансов, таких как использование неизменного состава и  версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), исключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и  данные о дате и времени сборки.

URL: http://blog.netbsd.org/tnf/entry/netbsd_fully_reproducible_b...
Новость: http://www.opennet.me/opennews/art.shtml?num=46073

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Омомим on 20-Фев-17, 23:39 
Я поддерживаю данное начинание, однако, мне сложно себе представить человека, проверяющего подлинность пакетов, например, в Дебиане, путём их пересбора.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В NetBSD обеспечена поддержка повторяемых сборок"  +9 +/
Сообщение от A.Stahl (ok) on 20-Фев-17, 23:42 
Человека нет, а вот организацию вполне можно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "В NetBSD обеспечена поддержка повторяемых сборок"  +1 +/
Сообщение от Аноним (??) on 21-Фев-17, 10:17 
Особенно с безопасниками экс-солдафонами, у которых от безделья креатив прёт.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

29. "В NetBSD обеспечена поддержка повторяемых сборок"  +1 +/
Сообщение от ram_scan on 21-Фев-17, 18:16 
А не в безопасниках даже дело. Вот нанял ты подрядчика, сделал он тебе на заказ кастомный продукт, сдал согласно ТЗ КД по ЕСКД, бинари и софт на носителях. Бинари работают согласно протоколу испытаний, сорцы даже компилятся. Выглядят на взгляд даже похоже. Вроде акт приемки выполненных работ подписывать надо. А как проверить что сорцы от бинарей то ? Что в бинарях костылей не наставлено заради испытания пройти ? Ато ухарей то много работать поменьше а получить побольше, а потом попробуй прищеми их когда акт подписан и "претензий не имею".
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

30. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от Аноним (??) on 21-Фев-17, 18:21 
>А как проверить что сорцы от бинарей то ? Что в бинарях костылей не наставлено заради испытания пройти ?

Достаточно просто не заплатить этим работничкам - по крайней мере сразу. Если у них там закладок наставлено, они их сами же и засветят.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "В NetBSD обеспечена поддержка повторяемых сборок"  +1 +/
Сообщение от Аноним (??) on 21-Фев-17, 22:37 
полуразово имхо. встречный иск от разработчика и небольшой гешефт сверху за нарушение контракта )
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

25. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Аноним (??) on 21-Фев-17, 13:52 
Кто руками пересобирать будет? Скрипты сборочные наваляют - они по ночам будут выкачивать обновления, выкачивать исходники, в сборочном окружении собирать пакет и сверять со скачанным обновлением!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Я. Р. Ош on 21-Фев-17, 00:25 
А как же
-march=native -mtune=native
?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Я. Р. Ош on 21-Фев-17, 00:35 
Посмотрел
-mtune=nocona -march=x86-64
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Аноним (??) on 21-Фев-17, 03:12 
Я думал такое уже давно было и есть. Иначе доверия к этим бинарникам не сильно больше чем к винде.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Аноним (??) on 21-Фев-17, 03:28 
Круто. Ждём когда эта фича появится в Gentoo.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В NetBSD обеспечена поддержка повторяемых сборок"  +2 +/
Сообщение от Andrey Mitrofanov on 21-Фев-17, 09:44 
> Круто. Ждём когда эта фича появится в Gentoo.

Это не фича, это процесс.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

26. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Аноним (??) on 21-Фев-17, 13:54 
> Круто. Ждём когда эта фича появится в Gentoo.

Зачем это Gentoo?

Разве что для верификации stage & LiveCD/DVD

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от Аноним (??) on 21-Фев-17, 18:46 
>Зачем это Gentoo?

Надо было, наверное, жирный знак *ИРОНИЯ* добавить.

Но, на самом деле, это можно использовать в случаях, когда сборка происходит только на одном из хостов в сети, который в свою очередь раздаёт бинарные пакеты на другие хосты. Такое часто делают в случае множества однотипных серверов на Gentoo.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Andrey Mitrofanov on 22-Фев-17, 11:08 
>>Зачем это Gentoo?
> Надо было, наверное, жирный знак *ИРОНИЯ* добавить.

Генте это надо [ну, мне так придумалось], чтоб и сборку у пользователя сделать, и "пакеты" одинаковые получались (хотя б в каких-то пределах) -- чтоб разрабы могли проще(?) пользователей поддерживать. Ну, типа, как в Debian-е?---

> раздаёт бинарные пакеты на другие хосты. Такое часто делают в случае
> множества однотипных серверов на Gentoo.

Воспроизводимая сборка для этого не нужна.

Я на своих серверах директории с софтом в /opt/$PACKAGE-$VERSION с-под configure-make-install таскаю _безо _всякой нужды в воспроизводимости.

.
.
.
Там наверху, наверное, непонятно написано? Речь про доверие -- проверил(*), убедился, сделал вывод о доверии(**) к [дистрибутиву? -ору? софту-пакету...].

(*)Или тот, кому ты доверяешь, сказал тебе, что проверил - и подтвердил, воспроизводимо.   Например, к бинарному пакету из какого Debian-а или NetBSD.
(**)о степени доверия! Не да/нет и не "фича", а больше/меньше и процесс. И субъективность, даже.

>>>Debian’s dirtiest secret: Binary packages built by developers are used in the archive
>>> — Lucas Nussbaum, FOSDEM 2015
((взял из слайдов https://archive.fosdem.org/2016/schedule/event/deployments_w... оригинал не искал))

Тор, например, заморочился этим раньше других "дистрибуторов" -- от их софта [, говорят,] буквально зависят жизни. И весьма "влиятельные" враги, например, заинтереованы в компрометации сборки -- на машине разработчика. Поэтому они не ограничиваются "просто сборкой", а и перепроверяют её. В т.ч., чтобы и самим убедиться, что их [и их сборки] не поломали.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

8. "В NetBSD обеспечена поддержка повторяемых сборок"  +3 +/
Сообщение от Ананас on 21-Фев-17, 07:35 
И зачем это нужно, если, чтобы убедиться, нужно перекомпилять всю систему особым извращенным способом? Может, тогда проще поставить генту и сверять исходники?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от Аноним (??) on 21-Фев-17, 11:59 
Где извращённым, а где нет. Во Фре, Gentoo, которые и так готовы к сборке из исходников, а последняя и расчитана на это, это весьма тривиальная задача.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "В NetBSD обеспечена поддержка повторяемых сборок"  +1 +/
Сообщение от Andrey Mitrofanov on 21-Фев-17, 12:14 
> Во Фре, Gentoo, которые и так готовы к сборке из исходников, а последняя и расчитана на это, это

Сборка из исходников и _воспроизводимая_ сборка не одно и то же.

Ср.: "у каждого собралась своя уникальная снежинка" и "у каждого собралось то же, что у всех остальных с точностью до бита -- то же, что в бин.пакетах".

И фря, и гента [в т.ч. со Свободой USE-флагов или как их там] -- ровно первое и не второе.

>весьма тривиальная задача.

Нет. Вы не понимаете.

--"Это не мелочи, дружище Битнер."

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от Аноним (??) on 21-Фев-17, 13:25 
> Сборка из исходников и _воспроизводимая_ сборка не одно и то же.

Согласен, не одно и то же. Но там, где сборка уже есть, к этому прийти поди проще.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

9. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от DmA (??) on 21-Фев-17, 09:10 
Интересно, появится ли такое когда-нибудь в Винде :)
Для пересборки дистрибутива Линукс на современных  многоядерных(12-16) компьютерах занимаем немного времени - минут 15 на cd диск с бинарниками уходит. Дистр размером с DVD получается около часа. Что по современным меркам немного, ещё лет 5 и дистры Линукс будут поставлятся только с исходным текстом, а дальше а ля Gentoo
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от ryoken (ok) on 21-Фев-17, 09:18 
> Дистр размером с DVD получается около часа. Что по современным меркам
> немного, ещё лет 5 и дистры Линукс будут поставлятся только с
> исходным текстом, а дальше а ля Gentoo

Сэр теоретик? :) Я б только ЗА, но боюсь что разовьётся в такую фигню, которая только на JS будет %).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от DmA (??) on 21-Фев-17, 10:15 
что поделаешь, программы на js быстрее всех размножаются :) https://www.opennet.me/opennews/art.shtml?num=45861
Зато для желающих понимать что и как под рукой будем всегда именно тот исходник, который у них сейчас работает у них в системе
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Аноним (??) on 21-Фев-17, 10:26 
Да ладно, за 15 мин. Ну проц о 16-ти ядрах может и обеспечит такую скорость сборки, но дисковая подсистема - узкое горлышко.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от DmA (??) on 21-Фев-17, 10:55 
> Да ладно, за 15 мин. Ну проц о 16-ти ядрах может и
> обеспечит такую скорость сборки, но дисковая подсистема - узкое горлышко.

хранить исходный текст в сжатом виде на диске :)
Твёрдотельный забодяжить туда на SATA III


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от DmA (??) on 21-Фев-17, 11:00 
> Да ладно, за 15 мин. Ну проц о 16-ти ядрах может и
> обеспечит такую скорость сборки, но дисковая подсистема - узкое горлышко.

Тут где-то господин Шигорин приводил данные по сборке Live дистра то ли от проекта АльЛинукс, то ли Базальт. Там даже и 5-7 минут были...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "В NetBSD обеспечена поддержка повторяемых сборок"  –2 +/
Сообщение от Я. Р. Ош on 21-Фев-17, 12:34 
>но дисковая подсистема - узкое горлышко.

1. Если достаточно памяти, то Linux отлично кеширует доступ к диску
2. Никто не мешает создавать временно раздел на tmpfs

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

12. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от Филипп Филиппович (ok) on 21-Фев-17, 10:02 
Очевидно, распараллеливание сборки по типу make -j4 тоже надо отключать...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от www2 (ok) on 21-Фев-17, 10:40 
>Очевидно, распараллеливание сборки по типу make -j4 тоже надо отключать...

Мне не очевидно. Почему надо? Если две вещи можно делать параллельно, то мне лично кажется очевидным, что эти две вещи никак друг от друга не зависят.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "В NetBSD обеспечена поддержка повторяемых сборок"  +1 +/
Сообщение от Аноним (??) on 21-Фев-17, 12:12 
Это в идеальном мире и у фукцианальщиков. А на практике там мутабельная п* и сайдэффекты могу быть непредсказуемые.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

39. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от Филипп Филиппович (ok) on 25-Фев-17, 12:15 
Так потому, что в новости сказано о строгом соблюдении последовательности. Хотя в теории, конечно, хуже от -j 4 вроде бы и не станет. Но то теория...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "В NetBSD обеспечена поддержка повторяемых сборок"  –2 +/
Сообщение от ПавелС email(ok) on 22-Фев-17, 13:02 
Я не одобряю такую трату усилий. Если у кого-то паранойя, что его обманывают и он не доверяет репозиторию, пусть пересобирает world в генту. Людям хватает просто доверия к дистрибутивам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Andrey Mitrofanov on 22-Фев-17, 14:59 
> Я не одобряю
>пусть пересобирает
> Людям хватает просто

Отл! Ну, хоть кто-то но опенете знает, что надо людЯм. </отлегло>

//Из соседняя палата обеспокоена: "Ах! Боже мой! Что станет говорить Княгиня Марья Алексевна!"

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "В NetBSD обеспечена поддержка повторяемых сборок"  –1 +/
Сообщение от ПавелС email(ok) on 22-Фев-17, 19:28 
>> Я не одобряю
>>пусть пересобирает
>> Людям хватает просто
> Отл! Ну, хоть кто-то но опенете знает, что надо людЯм. </отлегло>
> //Из соседняя палата обеспокоена: "Ах! Боже мой! Что станет говорить Княгиня Марья
> Алексевна!"

Я не про то. Сообщество косвенно озадачило разработчиков на высший пилотаж. Ну возможно, ну можно повторить, но трата усилий ради какой-то идеалистической идеи? Зачем? Это уже искусство какое-то, а не производство.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

37. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от anonymous (??) on 22-Фев-17, 18:46 
> Я не одобряю такую трату усилий.

Продолжайте держать нас в курсе, по мере появления новых вещей, которые вы не одобряете. Ваше мнение очень важно для нас.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "В NetBSD обеспечена поддержка повторяемых сборок"  +/
Сообщение от Филипп Филиппович (ok) on 25-Фев-17, 12:20 
Если вы выпускаете продукт на базе дистрибутива (это куда удобнее и дешевле, чем собирать всё с нуля) -- скажем, навигационную систему для танкеров, то страховаться от неприятностей -- не такая уж и паранойя. Шансов на неприятность, может, и мало, но вот потенциальный ущерб уж очень велик.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру