Sehr interessantes Thema, das mich schon in den Bann gerissen hat seit ich davon das erste Mal gehört habe. Ich erachte es für absolut notwendig, dass es zumindest eine Distribution gibt, die reproduzierbare Builds hat. Wem das etwas schwer zu verstehende Audio nichts ausmacht, kann sich von der Debconf14 einen Vortrag dazu ansehen, der die Schwierigkeiten etwas detailliert offenbart: Reproducible Builds for Debian - A year later
Naja, haben das andere nicht schon lange? openSUSE behauptet zumindest das der OBS immer alles neu baut was von anderen Paketen abhängt. Und das build-compare tool vergleicht jedes Paket mit der alten version.
Soweit ich weiß, haben das andere noch nicht. Ich muss aber ehrlich gesagt zugeben, dass ich mich mit dem OBS noch nicht näher befasst habe. Zu build-compare finde ich aktuell keine genaue Beschreibung, aber soweit ich das von der Webseite verstehe, werden hier die Inhalte eines Pakets verglichen. Das würde für mich heißen, ob sich Dateien verändert haben bzw. ob welche dazu- oder weggekommen sind. In fast allen Fällen werden sich jedoch vermutlich die Binärkompilate von Build zu Build ändern. Reproduzierbare builds gehen da um einiges weiter. Das bedeutet, dass z.B. ein Rechner bei Debian das Paket baut. Ich kann mir zu Hause eine Toolchain zum Paketbau einrichten, das Paket selber damit bauen und es muss Bit für Bit das gleiche Resultat herauskommen. Somit kann ich überprüfen, ob das Paket, das von Debian gebaut wurde, aus den Sourcen stammt die ich auch zur Verfügung habe. Das Ziel einer solchen Änderung soll wahrscheinlich am Ende sein, dass Leute zu Hause den Build verifizieren und ihre Signatur darunter setzen, dass das Kompilat mit den Quellen übereinstimmt. Bei all den Problemen, die da bei Debian und dem Tor-Projekt aufgetaucht sind, würde mich wundern, wenn das bei OBS schon komplett umgesetzt wurde, zumal häufig Kompiler-Optionen gesetzt werden müssen, die der Paketbetreuer auch explizit mit aufnehmen muss.
Sehr interessantes Thema, das mich schon in den Bann gerissen hat seit ich davon das erste Mal gehört habe. Ich erachte es für absolut notwendig, dass es zumindest eine Distribution gibt, die reproduzierbare Builds hat.
Wem das etwas schwer zu verstehende Audio nichts ausmacht, kann sich von der Debconf14 einen Vortrag dazu ansehen, der die Schwierigkeiten etwas detailliert offenbart:
Reproducible Builds for Debian - A year later
Naja, haben das andere nicht schon lange? openSUSE behauptet zumindest das der OBS immer alles neu baut was von anderen Paketen abhängt. Und das build-compare tool vergleicht jedes Paket mit der alten version.
Soweit ich weiß, haben das andere noch nicht. Ich muss aber ehrlich gesagt zugeben, dass ich mich mit dem OBS noch nicht näher befasst habe.
Zu build-compare finde ich aktuell keine genaue Beschreibung, aber soweit ich das von der Webseite verstehe, werden hier die Inhalte eines Pakets verglichen. Das würde für mich heißen, ob sich Dateien verändert haben bzw. ob welche dazu- oder weggekommen sind. In fast allen Fällen werden sich jedoch vermutlich die Binärkompilate von Build zu Build ändern.
Reproduzierbare builds gehen da um einiges weiter. Das bedeutet, dass z.B. ein Rechner bei Debian das Paket baut. Ich kann mir zu Hause eine Toolchain zum Paketbau einrichten, das Paket selber damit bauen und es muss Bit für Bit das gleiche Resultat herauskommen. Somit kann ich überprüfen, ob das Paket, das von Debian gebaut wurde, aus den Sourcen stammt die ich auch zur Verfügung habe.
Das Ziel einer solchen Änderung soll wahrscheinlich am Ende sein, dass Leute zu Hause den Build verifizieren und ihre Signatur darunter setzen, dass das Kompilat mit den Quellen übereinstimmt.
Bei all den Problemen, die da bei Debian und dem Tor-Projekt aufgetaucht sind, würde mich wundern, wenn das bei OBS schon komplett umgesetzt wurde, zumal häufig Kompiler-Optionen gesetzt werden müssen, die der Paketbetreuer auch explizit mit aufnehmen muss.