繰り返し可能なビルドが重要な理由は、以下に説明されています。reproduciblebuild.org:
無料のオープンソースソフトウェアのソースコードで悪意のある欠陥は誰でも確認できますが、ほとんどのソフトウェアはプリコンパイルされた状態で配布されるため、該当するかどうかを確認する方法はありません。
これにより、ソフトウェアを公開する開発者に対する攻撃は、伝統的な攻撃だけでなく、政治的影響力、脅迫、さらには暴力の脅威の形でも引き起こされました。
~によるとisdebianreproducibleyet.comDebianの現在の再現性はわずか94.7%です。
再現可能にビルドできないBuster/amd64のパッケージ一覧ここ。
システムにインストールされているすべての再現不可能なパッケージを簡単かつ迅速に一覧表示する方法はありますか?
私はdebsecan | grep "remotely exploitable"、インストールされている脆弱なパッケージを特定したり、無料でないvrmsオープンソースソフトウェアに対してパッケージをインストールしたりしないようにするのと同様のアプローチを検討しています。そのようなツールやスクリプトが存在しますか?
ベストアンサー1
再現可能なビルド情報に示されている結果は、現在のテストフレームワーク内の理論的再現性のみを反映していることに注意することが重要です。現在のパッケージの再現性の説明として必ずしも解釈されるわけではありません。ダウンロード可能Debian リポジトリから。
言い換えれば、devscriptsこれ探しているのと同様の目標を持つコマンドが含まれていますreproducible-check。 CIインフラストラクチャから現在の結果をダウンロードし、それをインストールされているパッケージセットと比較します。しかし、現在はいくつかの問題があり、テスト結果はBullseye用にのみエクスポートされます...興味がある方はアップストリームリポジトリに注意してくださいこのツールは開発中です。。