パブリックソースコードと比較してLinuxディストリビューションを確認するには？

残念ながら、現在のソースコードのディストリビューションを自動的に確認する方法はありません。ただし、ある程度使用できるいくつかの中間結果があります。繰り返し可能なビルドプロジェクト主な原動力だ。

再現性とは、同じ入力を使用する能力を意味します。そして同じツール、同じ出力アーティファクトを生成します。様々な種類繰り返し可能なタスクを構築するプロジェクトに参加してください。これはある程度の再現性を可能にする。たとえば、次のようになります。

• 多くの Debian パッケージは再現可能なので、同じソースパッケージと同じビルド環境 (コンパイラ、ビルド依存関係など) が与えられると、まったく同じパッケージが得られます。
• Debian の公式 Docker イメージ繰り返し可能したがって、同じ参照パッケージを提供します（いいえソースコード）と同じビルドツールを使用すると、まったく同じルートファイルシステムを取得できます。

上記で作成された成果物のエンドユーザーの確認はまだできません。特に、ビルド環境を文書化するファイルがまだ公開されていないからです（私の知る限り）。しかし、それらは保存されているので、ある時点でこれが可能になります。

私はどんな「大規模」ディストリビューションも検証はどこかソースコードから配布メディア（ISOなど）までの再現性をサポートしていないと思います。道路には多くの障害物があります。

• ただし、すべてのソフトウェアを繰り返し構築できるわけではありません。
• 再現可能なアーティファクトにはビルド環境に関する「知識」が含まれ、リリース準備中に変更可能です（したがって、リリース検証には履歴の再構成が含まれます）。

今すぐは考えていない他の人もいるかもしれません。尾完全に再現可能な配布媒体をリリースするので、これは技術的に可能ですが、分配する再現可能。リリースが再現可能な方法でリリースされない場合、外部の当事者はそれを確認できません。 （これは外部監査の存在を妨げず、時には便利です。）

さまざまなものを見てくださいプロジェクトReproducible Builds Webサイトで引用したものの中には、それをより簡単にすることに焦点を当てています。全体的な。 Reproducible Buildsプロジェクト自体は多くのものをリリースします。ツールこれは、再現可能なアーティファクトを生成し分析するのに役立ちます。

再現性と検証の可能性がなくても、あなたの質問の1つは概ね解決されました。

メンテナンス者がビルド中にパブリックコードベースの外で何か悪いことに陥っていないかどうか確信できますか？

ほとんどのディストリビューション（Deepinについてはわかりません）は、独自のビルドインフラストラクチャに構築されたバイナリアーティファクトのみをリリースするため、メンテナンス担当者はパブリックコードベース（アーティファクトが文書化されている場所）の外に何も配置できません。これは、主な関心事である展開自体に対する暗黙の信頼を排除するのではなく、少なくともそのソースコードを公開することなく悪意のあるアーティファクトをリリースすることができる個々の管理者の能力を排除します。

ケントンプソンの古典""も参照してください。信頼に関する考え」、そしてコンパイラの信頼に関するフォローアップ研究;そして次の質問：

• 「Debian がバイナリの起源を証明すると予想される」とはどういう意味ですか？
• Debianソフトウェアパッケージの信頼性をどのように保証しますか？
• 以前のバージョンの Debian パッケージがパッケージリポジトリから消えるのはなぜですか? (バージョン管理システム構成との関連性が高い)