Nedávno bylo oznámeno spuštění „Rebuilderd“ který je umístěn jako nezávislý ověřovací systém pro binární balíčky že umožňuje organizovat ověření balíků distribuce implementací nepřetržitě běžícího procesu sestavování, který porovnává stahovatelné balíčky s balíčky přijatými v důsledku opětovného sestavení v místním systému.
Jinými slovy, tento systém poskytuje službu, která sleduje stav indexu paketů a automaticky začít znovu sestavovat nové balíčky v referenčním prostředí, jehož stav je synchronizován s nastavením prostředí Hlavní sestavovací balíček Arch Linuxu.
Při opětovné kompilaci jsou brány v úvahu nuance, jako je přesná korespondence závislostí, použití skladeb a nezměněných verzí nástrojů pro sestavení, identická sada možností a výchozí nastavení a zachování pořadí sestavení souboru (pomocí stejných metod třídění).
Nastavení procesu sestavení vylučuje kompilátor z přidávání obecných nekonzistentních informací, jako jsou náhodné hodnoty, odkazy na cesty k souborům a data o datu a čase kompilace.
O společnosti Rebuilderd
V současné době je k dispozici pouze experimentální podpora pro kontrolu balíčků Arch Linuxu s přestavbou, ale plánuje brzy přidat podporu Debianu.
V současné době, opakovatelná sestavení jsou k dispozici pro 84.1% balíčků z hlavního úložiště Arch Linux, 83.8% z úložiště doplňků a 76.9% z úložiště komunit. Pro srovnání, v Debianu 10 je toto číslo 94,1%.
Vzhledem k tomu, že sestavení jsou důležitou součástí zabezpečení, protože vám umožňují dát každému uživateli příležitost zajistit že balíčky bajtů za bajty nabízené distribučním balíkem se shodují s balíčky osobně kompilovanými ze zdroje.
Bez možnosti ověřit identitu kompilovaného binárního souboru může uživatel pouze slepě důvěřovat infrastruktuře sestavení někoho jiného, čímž kompromituje kompilátor nebo kompilační nástroje tam, kde to může vést k nahrazení skrytých značek.
Instalace a provedení
V nejjednodušším případě stačí ke spuštění rebuilderd nainstalovat balíček rebuilderd z normálního úložiště, importovat klíč GPG a ověřit prostředí a aktivovat odpovídající systémovou službu. Je možné implementovat síť více přestavěných instancí.
Instalovat, musíme otevřít terminál a v něm píšeme následující příkaz:
sudo pacman -S rebuilderd
Hotovo, nyní musíme importovat klíč GPG, protože Rebuilderd musí ověřit spouštěcí bitovou kopii Arch Linuxu, k tomu v terminálu budeme muset zadat následující příkaz:
gpg --auto-key-locate nodefault,wkd --locate-keys pierre@archlinux.de
Po tomto od té doby musíme přidat uživatele do skupiny Rebuilderd můžeme obdržet chybu:
usermod -aG rebuilderd $USER
Nyní jednoduše musíme ověřit, že Rebuilderd již běží o systému, k tomu musíme pouze napsat:
rebuildctl status
A pokud chceme sdílet výsledky v síti, musíme zadat:
systemctl enable – now rebuilderd rebuilderd-worker @ alpha
Nyní je důležité vzít v úvahu, že Rebuilderd nepřijde do akce, dokud není výslovně uvedeno, odkud jsou synchronizovány systémové balíčky, proto musíme upravit soubor /etc/rebuilderd-sync.conf, kde jsou nakonfigurovány synchronizační profily a tyto názvy profilů jsou jedinečné:
Příkladem je následující:
## rebuild all of core
[profile."archlinux-core"]
distro = "archlinux"
suite = "core"
architecture = "x86_64"
source = "https://ftp.halifax.rwth-aachen.de/archlinux/core/os/x86_64/core.db"
## rebuild community packages of specific maintainers
#[profile."archlinux-community"]
#distro = "archlinux"
#suite = "community"
#architecture = "x86_64"
#source = "https://ftp.halifax.rwth-aachen.de/archlinux/community/os/x86_64/community.db"
#maintainer = ["somebody"]
Po úpravě souboru jednoduše musíte povolit časovač, aby automaticky synchronizoval profil:
systemctl enable --now rebuilderd-sync@archlinux-core.timer
Konečně pokud se chcete dozvědět více o Rebuilderdu, měli by vědět, že je napsán v Rustu a je distribuován pod licencí GPLv3 a můžete zkontrolovat všechny jeho podrobnosti a kód Na následujícím odkazu.