반복 가능한 빌드가 중요한 이유는 아래에 설명되어 있습니다.reproduciblebuild.org:
무료 오픈소스 소프트웨어의 소스코드에서 악성 결함은 누구나 확인할 수 있지만, 대부분의 소프트웨어는 사전 컴파일된 상태로 배포되기 때문에 해당 여부를 확인할 방법이 없습니다.
이로 인해 소프트웨어를 게시하는 개발자에 대한 공격이 전통적인 공격뿐만 아니라 정치적 영향력, 협박, 심지어 폭력 위협의 형태로도 촉발되었습니다.
~에 따르면isdebianreproducibleyet.com데비안의 현재 재현성은 94.7%에 불과합니다.
재현 가능하게 빌드할 수 없는 Buster/amd64의 패키지 목록여기.
시스템에 설치된 모든 재현 불가능한 패키지를 간단하고 빠르게 나열할 수 있는 방법이 있습니까?
나는 debsecan | grep "remotely exploitable"설치된 취약한 패키지를 식별하거나 vrms무료가 아닌 오픈 소스 소프트웨어에 대해 패키지가 설치되지 않도록 하는 것과 유사한 접근 방식을 고려하고 있습니다. 그러한 도구나 스크립트가 존재합니까?
답변1
재현 가능한 빌드 정보에 표시된 결과는 현재 테스트 프레임워크 내의 이론적 재현성만 반영한다는 점에 유의하는 것이 중요합니다. 현재 패키지의 재현성에 대한 설명으로 반드시 해석되는 것은 아닙니다.다운로드 가능데비안 저장소에서.
즉 말하자면,devscripts이것찾고 있는 것과 유사한 목표를 가진 명령이 포함되어 있습니다 reproducible-check. CI 인프라에서 현재 결과를 다운로드하고 이를 설치된 패키지 세트와 비교합니다. 하지만 현재는 몇 가지 문제가 있으며 테스트 결과는 Bullseye용으로만 내보내집니다... 관심이 있으신 분은 업스트림 저장소를 주목해 주세요,이 도구는 개발 중입니다..