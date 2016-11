Software

Linux Foundation unterstützt Reproducible Builds

Die Linux Foundation unterstützt im Rahmen der unter ihrem Schirm agierenden »Core Infrastructure Initiative« (CII) erneut das Projekt »Reproducible Builds«.

Linux Foundation

Die Idee der reproduzierbaren Builds kommt aus dem Umfeld von Projekten wie Tor und Bitcoin. Dabei geht es darum, dass Anwender verifizieren können, dass ein Binärpaket mit exakt dem Quellcode erstellt wurde, den es angibt, und das mit verifizierbaren vertrauenswürdigen Werkzeugen.

Bereits in der Vergangenheit hatte die CII das Projekt der Reproducible Builds unterstützt, das seit einigen Jahren besonders bei Debian vorangetrieben wird. Im Juni 2015 verkündete CII, das Projekt mit 200.000 US-Dollar zu unterstützen. In der ersten Unterstützungsphase konnten Debugging-Werkzeuge wie Diffoscope erstellt werden. Dieses Werkzeug erlaubt den Entwicklern tiefgreifende Vergleiche von Dateien, Verzeichnissen und Archiven, wie Nicko van Someren, CTO der Linux Foundation, gegenüber der Nachrichtenseite eWeek ausführte. Zudem konnte viel Zeit in ein verlässliches und flexibles Framework investiert werden, um die Reproduzierbarkeit von Paketen in Debian und anderen Distributionen zu testen. Die neuesten Zahlen geben eine Reproduzierbarkeit der Pakete in Debian Testing von 91,4 Prozent an. Aktuelle Informationen vermittelt ein Vortrag von Chris Lamb und Holger Levsen von der Mini-DebConf in Cambridge vom 14.11. Vom jetztigen Stand aus ist es durchaus möglich, dass Reproducible Builds in Debian 9 »Stretch« einfliessen könnten.

Mit der erneuten Unterstützung des Projekts mit diesmal 225.000 US-Dollar erhofft sich van Someren nicht nur eine Ausweitung der Anstrengungen sondern auch die Erstellung von neuen Werkzeugen. Zudem soll die Dokumentation für Upstream-Open-Source-Projekte überarbeitet und letztendlich auch Werkzeuge für Endanwender angeboten werden. So könnten Anwender etwa in die Lage versetzt werden, die Installation von Paketen, die nicht reproduzierbar sind, zu untersagen.