Software::Distributionen::Debian
Statusreport des Debian-Reproducible-Builds-Projekts
Das Team des Reproducible-Builds-Projekts in Debian gibt in einem Statusreport Auskunft über die Entwicklung des Projekts und den derzeitigen Stand.
Software in the Public Interest
Das Projekt für reproduzierbare Builds arbeitet daran, Anwender eindeutig verifizieren zu lassen, dass ein Binärpaket mit exakt dem Quellcode erstellt wurde, den es angibt, und das mit verifizierbaren vertrauenswürdigen Werkzeugen.
Seit den Anfängen im Jahr 2015 sind Distributionen wie Arch Linux, Fedora, OpenSUSE, LEDE und Tails sowie FreeBSD und NetBSD zu dem Projekt gestoßen, das Debian federführend fortsetzt. Jetzt hat Mattia Rizzolo einen ersten ausführlichen Report seit 2015 zusammengestellt. In seinem Report schaut Rizzolo zurück und erinnert daran, dass in den Anfängen 2015 nicht alle Debian-Entwickler überzeugt gewesen seien, das zu erwartende Ergebnis rechtfertige den riesigen Aufwand. Heute sehe das anders aus.
Auf der Webseite des Projekts ist der derzeitige Stand der einzelnen Debian-Zweige grafisch und in Zahlen aufgeführt. Demnach können für »Stretch/amd64« derzeit 94 Prozent oder 23.347 von 24.822 Paketen reproduzierbar gebaut werden. Für die nächste Debian-Version »Buster», sind, ebenfalls auf die 64-Bit-Architektur bezogen, derzeit 93,2 Prozent des Archivs reproduzierbar. Viele der 1.258 Pakete, die noch nicht reproduzierbar sind, haben laut Rizollo bereits Patches. Hier sind die Paketbetreuer aufgerufen, diese Patches zu prüfen und gegebenenfalls einzupflegen. Leider sind solche Patches in der Vergangenheit des Öfteren jahrelang liegengeblieben.
Das Projekt arbeitet seit zwei Jahren zudem an einer neuen Datei in der Infrastruktur eines Debian-Pakets. Die Buildinfo-Datei, die im Control-Ordner eines DEB-Pakets Platz finden soll, gibt Auskunft über die Systemumgebung während dieses spezifischen Bauvorgangs. So ist dort unter anderem präzise die verwendete Werkzeugkette vermerkt. Mittlerweile sind sowohl der Paketmanager DPKG als auch das Archivwerkzeug DAK in der Lage, mit Buildinfo-Dateien umzugehen und Debian-Entwickler haben Zugriff auf derzeit 214.791 dieser Dateien. Ein Problem hierbei ist, dass diese Dateien das Archiv in nicht geringem Maße aufblähen.
Im Zuge der Weiterentwicklung des Projekts wurden in den vergangenen Jahren auch einige spezielle Werkzeuge entwickelt. Dazu zählt unter anderem Diffoscope. Damit lassen sich Dateien oder Ordner in der Tiefe vergleichen. Dazu entpackt Diffoscope Archive und transformiert Binärpakete in menschlich lesbare Formate. Mittlerweile wird das Werkzeug auch außerhalb des Projekts etwa zur Qualitätssicherung genutzt. Daneben wird auch an der Verankerung von reproduzierbaren Builds in den Debian-Richtlinien gearbeitet. So wurde ein Fehlerbericht eröffnet, der eine Richtlinie vorsieht, die reproduzierbare Builds generell empfiehlt.
){kind=logo}
