기본적으로 GUIX를 사용하여 패키지를 설치하려고 하는데 패키지가 조금씩 재생되지 않으면 어떻게 됩니까?
저는 2024년 패키지 관리자의 상태(그리고 공급망 공격의 위험)가 매우 우려됩니다. 전통적인 패키지 관리자는 다음과 같습니다.apt그리고yum모든 릴리스를 확인, 테스트 및 암호화 서명하는 전담 패키지 관리자 팀이 유지 관리합니다.플랫 팩,부서지다, docker는 임의의 사용자가 패키지를 제출할 수 있도록 허용합니다.즐겁게 다운로드하세요악의적으로 수정된 소프트웨어를 실행합니다.
오늘은 재현 가능한 빌드를 강조하는 GUIX에 대해 배웠습니다. 그러나 한 시간 동안 문서를 읽은 후에는 GUIX에서 재현 가능한 빌드가 어떻게 작동하는지 또는 실제로 작동하는지 알 수 없습니다.억지로 시키다모든 패키지에 대해.
GUIX의 기본 설치에서는 빌드가 재현 가능해야 합니까? 소프트웨어와 생성된 바이너리의 신뢰성을 어떻게 보장합니까? 시스템에 어떤 취약점이 있을 수 있나요?
답변1
기본적으로 GUIX를 사용하여 패키지를 설치하려고 하는데 패키지가 조금씩 재생되지 않으면 어떻게 됩니까?
특별한 것은 없습니다. 패키지가 설치됩니다.
그러나 실제로 패키지를 재현하려고 시도하고 GUIX 소스 패키지가 해당 GUIX 바이너리 패키지에 있는 것과 다른 것을 생성한다면 경고음이 울리게 될 것입니다.
GUIX 패키지 관리자는 이 작업을 자동으로 수행하는 고유한 기능을 제공하여 이를 쉽게 수행합니다.guix challenge주문하다.
그러나 건물모든 것소스에서 재현성을 검증하는 것은 매우 지루하며, 20개의 시스템을 실행하는 경우 각 패키지를 20번 빌드하고 싶지 않을 것입니다. 대신 각 시스템이 다른 세트에서 챌린지를 실행하도록 설정할 수 있습니다. 패키지, 병렬 검증.
또는 모든 패키지에 도전할 정도로 완고하지 않다면 신뢰할 수 있는 GUIX 사용자를 찾을 수 있으며 대부분의 사람들은 특정 패키지에 도전하여 재현할 수 있다는 것을 발견하면 그 말을 받아들일 것입니다. 어쩌면 당신은 정직한 사람들을 정직하게 유지하기 위해 때때로 무작위 패키지에 도전할 수도 있습니다. 충분한 사람이 이를 수행하면 반복 불가능성이 빠르게 발견되고 작업 부하가 공유됩니다.
즉, 떨어진다.너사용 가능한 컴퓨팅 리소스와 필요한 경계 수준에 따라 어떤 패킷을 확인하고 얼마나 자주 확인해야 하는지 결정하세요.
또한 재현성만으로는 악성 코드가 없음을 보장하지 않는다는 점을 명심하십시오. 아무도 실제 소스 코드를 읽지 않으면 악의적인 사람이 GUIX 소스 코드 저장소에 악의적인 코드를 주입하여 완전히 재현 가능한 사악한 바이너리로 끝날 수 있습니다. 패키지.