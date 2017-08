Software::Distributionen::Debian

Reproduzierbare Builds in die Debian-Richtlinien aufgenommen

Nach vier Jahren Arbeit an »Reproducible Builds« wurde das Ziel des Projekts nun in die Debian-Richtlinien übernommen.

Der Fehlerbericht #844431 in der Debian-Fehlerdatenbank wurde nur wenige Stunden nach dem Ende der diesjährigen Entwicklerkonferenz DebConf 17 geschlossen. Er war im November 2016 vom jetzigen Debian-Projerktleiter Chris Lamb eröffnet worden mit dem Ziel, reproduzierbare Builds in die Debian-Richtlinien zu übernehmen. Während der DebConf gab es einen Statusbericht des Reproducible-Builds-Team zum derzeitigen Stand des Projekts.

Die jetzt in die Richtlinien aufgenommene Formulierung ist eine Empfehlung, alle Pakete in Debian sollten reproduzierbar sein. Derzeit ist der Stand bei 94 Prozent. Die Formulierung wird vermutlich künftig einmal dahingehend abgeändert, dass reproduzierbare Pakete Pflicht sind. Dazu bedarf es aber weiterer Tests und einer Erweiterung der Toolchain in Richtung der Anwender.

Wie Holger Levsen aus dem Reproducible-Team in der Ankündigung der Richtlinienanpassung erläutert, sei man zwar bei 94 Prozent angekommen, jedoch nur auf halbem Wege. Was fehle, seien Werkzeuge, mit denen jedermann in die Lage versetzt wird, unabhängig zu überprüfen, ob ein Paket wirklich aus dem Quellcode erstellt wurde, den es angibt. Dazu müssen die Buildinfo-Dateien veröffentlicht werden und Benutzerschnittstellen im Paketmanager APT und anderswo geschaffen werden. Zudem machen bei der Gesamtmenge die fehlenden sechs Prozent eine große Menge an Paketen aus. So sind laut Levsen derzeit im Testing-Zweig zu Debian 10 »Buster« 273 nicht reproduzierbare wichtige Pakete, für die zum Großteil noch keine Patches vorliegen.

Eines der Ziele von Reproducible Builds ist, dass die Definition von freier Software die Reproduzierbarkeit zwingend mit einschließt. Jeder Anwender soll auf seiner Hardware überprüfen können, ob ein Binärpaket genau aus dem Quellcode gebaut wurde, den es angibt. Ein Vergleich zweier aus dem gleichen Quellcode auf unterschiedlicher Hardware gebauter Binärpakete soll dabei eine bitgenaue Übereinstimmung ergeben. Zum Bauen von reproduzierbaren Paketen bedarf es einer vertrauenswürdigen Werkzeugkette, die bereits beim Compiler beginnt. Würde dieser Schadcode oder eine Hintertür enthalten, wäre das Ergebnis nicht vertrauenswürdig.

Die ausführliche Debian-Dokumentation zum Thema erläutert unter anderem, wie man eine vertrauenswürdige Toolchain erreicht. Neben Debian wird die Reproduzierbarkeit von Binärpaketen auch bei OpenWRT, NetBSD. FreeBSD, Tails, Subgraph, Arch Linux, Fedora und bald auch bei F-Droid und Guix vorangetrieben. Coreboot meldete bereits Ende 2016, dieses Ziel sei erreicht.