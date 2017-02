Software::Distributionen::BSD::NetBSD

NetBSD erreicht vollständig reproduzierbare Builds

Das NetBSD-Projekt hat die vollständige Reproduzierbarkeit der Architekturen amd64 und sparc64 erreicht. Mit Reproduzierbarkeit wird nachweisbar, dass eine Binärdatei genau einem bestimmten Quellcode-Stand entspricht und mit einer bestimmten Compiler-Version generiert wurde.

NetBSD

Transparenz war schon immer ein wesentliches Argument für freie Software. Das gilt aktuell umso mehr und ist sogar oft von entscheidender Bedeutung, da Geheimdienste und andere Kriminelle immer häufiger versuchen, den Anwendern schädliche Software unterzuschieben. Wer seine Software grundsätzlich nur im Quellcode bezieht, ist dank der Offenheit der Quellen vor Schadcode nahezu gefeit, denn schon die Möglichkeit, den Quellcode und seine Änderungen zu inspizieren, macht Manipulationen sehr unwahrscheinlich. Doch fast immer sind auch Binärpakete im Spiel. Manchen Anwendern geht es in diesem Fall nicht weit genug, dass die Pakete aus vertrauenswürdigen Quellen stammen. Sie wollen zusätzlich sicher sein, dass das Binärpaket auch mit exakt dem Quellcode erstellt wurde, den es angibt, und mit genau angegeben vertrauenswürdigen Werkzeugen. Das alles soll sich mittels kryptografischer Signaturen dann auch verifizieren lassen.

Die Idee der reproduzierbaren Builds kommt wohl aus dem Umfeld des Tor-Projekts und Bitcoin, denen es in besonderem Maße darauf ankommt, dass die Anwender verifizieren können, dass ein bestimmter Stand von Quellcode und Werkzeugen zu einem exakt identischen Binärpaket führt. Das zu erreichen, ist keineswegs trivial. Will man auf zwei verschiedenen Systemen identische Binärpakete erzeugen, müssen eine Vielzahl von Werkzeugen identisch sein. Auch variable Daten wie Zeitstempel, die in den Binärcode eingehen, müssen vermieden oder zumindest konstant gehalten werden.

Der Initiative reproducible-builds.org gehören mittlerweile mindestens die Distributionen und Projekte Arch Linux, Baserock, Bitcoin, Coreboot, Debian, ElectroBSD, F-Droid, FreeBSD, Fedora, GNU Guix, LEDE, NetBSD, NixOS, openSUSE, OpenWrt, Tails, Tor Browser und Webconverger an. Nachdem Coreboot kurz vor Weihnachten den Erfolg vermelden konnte, ist nun auch NetBSD bei den Architekturen amd64 und sparc64 soweit. Wie Christos Zoulas, einer der Hauptentwickler von NetBSD, berichtet, arbeitete er annähernd ein Jahr daran, wobei er auf die Arbeit von anderen Entwicklern aufbaute, die teils sechs Jahre zurückreicht. Außerdem griff NetBSD auf die Hilfe von Debian zurück, das selbst seit gut drei Jahren an reproduzierbaren Builds arbeitet und bereits vor zwei Jahren ziemlich weit war. Debian stellte die Testplattform und das Werkzeug Diffoscope bereit, um Builds zu erzeugen und zu untersuchen.

Zoulas gibt in dem Bericht auch an, woher die Unterschiede zwischen verschiedenen Builds kommen und was getan wurde, um diese zu beseitigen. Nach dem ersten Erfolg bleibt immer noch einiges zu tun. So sollen die restlichen Plattformen ebenso reproduzierbar gemacht werden. Es sollen mehr Parameter beim Bauen variiert werden, um sicherzustellen, dass das generierte Produkt trotzdem noch dasselbe ist. Auch beim Cross-Compilieren soll die Reproduzierbarkeit verifiziert werden, ebenso beim Compilieren unter einem normalen Benutzerkonto. Zoulas macht keine Angaben zur Verfügbarkeit, aber es ist anzunehmen, dass alle Änderungen in den Entwicklungszweig von NetBSD eingebracht wurden.