나는 The Register of the UK에서 데비안의 재현 가능한 빌드에 관한 기사를 찾았습니다. 나는 그 말을 많이 이해할 수 없었습니다. 누군가 내가 이 일을 간단하게 할 수 있도록 도와줄 수 있나요? 여기 링크가 있습니다:반복 가능한 빌드
답변1
모든 것을 이해하기 위한 표준적인 출발점은 Ken Thompson입니다.신뢰에 대한 생각, 그는 소스에서 다시 빌드하더라도 시스템에 백도어가 없다는 것을 실제로 신뢰할 수 없다는 것을 증명했습니다.
그럼에도 불구하고 데비안의 복제 가능한 빌드 프로그램은 사용자에게 신뢰를 보장하도록 설계되었습니다. Debian과 같은 시스템에서 보안 감사를 실행한다고 상상해 보세요. 소스 코드를 읽고 요구 사항을 충족하는지 확인합니다. 하지만 데비안과 같은 시스템을 사용할 때는 소스 코드를 사용하지 않습니다. 배포판에서 제공하는 바이너리를 사용합니다. 바이너리가 실제로 검토한 소스 코드와 일치하는지 어떻게 확신할 수 있나요?
현재로서는 바이너리를 빌드하는 데 사용된 시스템이 손상되었거나 패키지 관리자가 소스 코드와 일치하지 않는 손상된 바이너리를 업로드했을 수도 있습니다.
재현 가능한 빌드를 사용하면 게시된 소스 코드를 가져오고, 바이너리를 다시 빌드하고, 아카이브에 게시된 바이너리와 바이트 단위로 동일한 바이너리를 얻을 수 있는 충분한 정보가 바이너리에 제공됩니다. 이는 소스 코드가 바이너리와 일치한다는 것을 증명하므로 바이너리 구축에 도움이 되는 다른 모든 바이너리에 대해서도 동일하다고 말할 수 있는 한 소스 코드의 분석 결과를 바이너리에도 적용할 수 있습니다. 재분석. 이는 관련된 컴파일러, 라이브러리 등을 재현 가능하게 구축할 수 있어야 하므로 전체 배포판을 재현 가능하게 구축할 수 있어야 함을 의미합니다.데비안 재현 가능 빌드을 목표로.
답변2
이는 데비안이 데비안 바이너리 패키지가 다른 코드가 아닌 소스 코드에서 완전히 나온 것임을 보장한다는 의미입니다. 패키지 추적기에 바이너리에 대한 정보가 저장됩니다.
Linux 배포판에서 바이너리 패키지를 얻을 때 바이너리가 해당 배포판에서 릴리스된 소스 코드에서 나온 것인지 실제로 확신할 수 없습니다.