Open Source im professionellen Einsatz

Debian bringt Reproducible Builds voran

27.01.2015

Das Debian-Projekt kommt mit seiner Arbeit an reproduzierbaren Builds voran. Sie sollen es einem User ermöglichen, das Binärpaket einer Software mit dem Quellcode abzugleichen.

255

Die Technologie soll die Sicherheit von Software erhöhen. Indem zwei aus demselben Quellcode erzeugte Binärpakete Byte für Byte identisch sind, lässt sie ihre Integrität prüfen. Der Haken: Dafür müssen Entwickler den Quellcode tausender Pakete entsprechend anpassen.

Debians Reproducible Builds Project habe inzwischen 80 Prozent der Pakete umgestellt, insgesamt mehr als 17 000, berichtet Lwn.net mit Verweis auf den Entwickler Jérémy Bobbio. Dabei ringe das Projekt mit einigen Problemen. So bräuchten solche Pakete eine identische Build-Umgebung, identische Systemzeit, gleiche Programmversionen, Hostnamen und so weiter. Zudem erstellt "tar" trotz identischer Verzeichnisbäume unterschiedliche Archive, was von mit der Reihenfolge der Dateinamen, aber auch der Locale zusammenhänge.

Über das ".buildinfo"-File lassen sich diese Probleme allerdings umgehen. Die Dateien beherbergen unter anderem die Informationen dazu, welche Pakete es braucht, um ein Paket zu bauen, inklusive der Versionsnummern. Werden Pakete dann auf verschiedenen Maschinen gebaut, müssen sie dieselbe ".buildinfo"-Datei mit einem identischen Hash verwenden. Anschließend signieren die Debian-Entwickler das Paket wiederum mit einer Signatur, die in einem separaten File landet und dafür birgt, dass das Paket exakt reproduziert werden konnte. Für Maintainer gibt es zudem einen Guide, der erklärt, wie sich ein Paket reproduzierbar machen lässt.

Entwickler Bobbio hofft, dass das Projekt die Reproducible Builds nach dem Release von Debian Jessie (8.0) zu einem Highlight für die Debian-Version 9.0 macht. Noch gebe es aber einiges zu tun, da sich nicht alle Pakete ohne Weiteres reproduzierbar machen lassen.

Ähnliche Artikel

  • Reproducible Builds

    Debians Reproducible-Builds-Projekt will technisch feststellen, ob ein Binärpaket auch tatsächlich aus dem zugehörigen Quellcode gebaut wurde. Das erhöht den Schutz vor Malware, aber auch den Aufwand.

  • Debian: Mehr als 90 Prozent der Pakete reproduzierbar

    Im Vorfeld der Debconf 17 liefert das Reproducible-Builds-Projekt neue Zahlen, um den eigenen Fortschritt zu messen. Demnach lassen sich auf bestimmten Plattformen 94 Prozent der Pakete reproduzierbar bauen.

  • NetBSD mit reproducible Builds

    Das NetBSD-Projekt kann vermelden, dass es ab sofort reproduzierbare Builds zur Verfügung stellen kann.

  • CII macht weiterhin Geld für Reproducible Builds locker

    Die Core-Infrastructure-Initiative (CII) der Linux-Foundation finanziert das Reproducible-Builds-Projekt weiterhin. Dieses will die aus Quellcode erstellten Binaries sicherer machen.

  • Debconf 17: Quo vadis, Debian?

    Auf der Debconf 17 diskutierten die Debianer die nächsten Schritte für Reproducible Builds, lauschten Vorschlägen für mehr Sicherheit für Updates und installierte Programme. Zwei Vorträge widmeten sich aber auch der Vergangenheit und Zukunft von Debian.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.