Open Source im professionellen Einsatz

Debian: Mehr als 90 Prozent der Pakete reproduzierbar

24.07.2017

Im Vorfeld der Debconf 17 liefert das Reproducible-Builds-Projekt neue Zahlen, um den eigenen Fortschritt zu messen. Demnach lassen sich auf bestimmten Plattformen 94 Prozent der Pakete reproduzierbar bauen.

528

Debian-Nutzer installieren ihre Software in der Regel über binäre Debian-Pakete und nicht direkt aus dem Quellcode, was ohne größere Umstände klappt, weil das Paketsystem Abhängigkeiten auflöst und das langwierige Bauen aus dem Quellcode weg fällt. Es ist die Aufgabe der Debian-Entwickler und -Maintainer, diese vorgefertigten Debian-Pakete aus dem Quellcode der jeweiligen Software zu bauen.

Bislang lässt sich allerdings nur schwer feststellen, ob ein Binärpaket tatsächlich aus dem angegebenen Quellcode übersetzt wurde. Im Buildprozess stecken nämlich einige dynamische Elemente, die sich mit jedem Build ändern und die reproduzierbare Ergebnisse unmöglich machen. Schmuggelt also jemand bösartigen Code in den Buildprozess ein, fällt dies bei den fertigen Binärpaketen nicht auf.

Das Reproducible-Builds-Projekt will das nicht nur für Debian ändern. Es gestaltet den Buildprozess gleichförmig genug, um später anhand der Checksumme einer Binärdatei festzustellen, ob diese tatsächlich bit-identisch mit dem zugrundeliegenden Quellcode ist. Die Idee geht bereits zurück auf das Jahr 2007. Ab 2013, auch im Zuge der Snowden-Enthüllungen, nahm das Reproducible-Builds-Projekt an Fahrt auf, vor allem die Tor- und Bitcoin-Entwickler zeigten für ihre Software Interesse. Die Core Infrastructure Initiative (CII) der Linux-Foundation, aber auch Profitbricks und Codethink, unterstützen das Vorhaben dabei finanziell.

Mittlerweile kann es laut einer aktuellen Ankündigung einige Erfolge vorweisen: Nicht nur haben sich diverse andere Projekte vom Sinn des Ganzen überzeugen lassen, etwa Arch Linux, Fedora, Open Suse, Lede, Tails, Free BSD und Net BSD. Auch die Upstream-Projekte nehmen die Reproduzierbarkeit in ihre Buildüberlegungen auf, schreibt Debian-Entwickler Mattia Rizzolo in einer Mail auf Debians  Developer-Announce-Liste. Es hat sicher geholfen, dass die Macher das Reproducible-Builds-Projekt und die dazugehörigen Tools und die Webseite so distributionsunabhängig wie möglich gestalten.

Rund 94 Prozent der "amd64"-Pakete für Debian 9 lassen sich bereits reproduzierbar bauen (Quelle: https://tests.reproducible-builds.org)

Zugleich liefert der Entwickler für Debian aktuelle Zahlen und Schaubilder: Demnach lassen sich auf der "amd64"-Plattform 94 Prozent der Pakete für Debian 9 (Stretch) reproduzierbar übersetzen. Das sind immerhin 23347 Pakete. Während sich 95 Pakete überhaupt nicht bauen lassen, schlägt die Reproduzierbarkeit noch bei 1319 Paketen fehl. Dank der verlinkten Daten auf der Webseite lässt sich für die meisten Pakete auch im Detail ermitteln, warum das so ist. Schuld sind häufig in den Prozess eingebaute Zeitstempel, die jeden Build ungewollt verändern. In vielen Fällen gibt es bereits Bugreports, in einigen gibt es auch Patches, die darauf warten, dass die Maintainer sie einbauen.

Auch für die anderen Plattformen sehen die Zahlen für Debian 9 gut aus. Auf der "i386"-Plattform sind 91 Prozent der Pakete reproduzierbar, auf "arm64" gar 93 Prozent. Bei "armhf" sind es immerhin rund 91 Prozent. Auch für Buster, die nächste Debian-Version, sehen die Zahlen ähnlich aus. Auf der Debconf 2017 dürften das Thema und die darauf basierenden Tools, etwa Diffoscope, Debrepro und Reprotest, eine Rolle spielen. Unter anderem ist ein Vortrag zu alternativen Möglichkeiten für das im Buildprozess zentrale ".buildinfo"-File geplant, denn hier ergeben sich nun auch neue Möglichkeiten, etwa für die Qualitätssicherung.

Ähnliche Artikel

  • CII macht weiterhin Geld für Reproducible Builds locker

    Die Core-Infrastructure-Initiative (CII) der Linux-Foundation finanziert das Reproducible-Builds-Projekt weiterhin. Dieses will die aus Quellcode erstellten Binaries sicherer machen.

  • Reproducible Builds

    Debians Reproducible-Builds-Projekt will technisch feststellen, ob ein Binärpaket auch tatsächlich aus dem zugehörigen Quellcode gebaut wurde. Das erhöht den Schutz vor Malware, aber auch den Aufwand.

  • NetBSD mit reproducible Builds

    Das NetBSD-Projekt kann vermelden, dass es ab sofort reproduzierbare Builds zur Verfügung stellen kann.

  • Debian bringt Reproducible Builds voran

    Das Debian-Projekt kommt mit seiner Arbeit an reproduzierbaren Builds voran. Sie sollen es einem User ermöglichen, das Binärpaket einer Software mit dem Quellcode abzugleichen.

  • Debconf 17: Quo vadis, Debian?

    Auf der Debconf 17 diskutierten die Debianer die nächsten Schritte für Reproducible Builds, lauschten Vorschlägen für mehr Sicherheit für Updates und installierte Programme. Zwei Vorträge widmeten sich aber auch der Vergangenheit und Zukunft von Debian.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.