私は英国のRegisterでDebianの再現可能なビルドに関する記事を見つけました。私はその言葉をあまり理解できませんでした。誰かが私がこれを簡単にするのを助けることができますか?ここにリンクがあります:繰り返し可能なビルド
ベストアンサー1
すべてを理解するための標準的な出発点はKen Thompsonです。信頼に関する考え、彼はソースから再構築しても、システムにバックドアがないことを実際に信頼できないことを証明しました。
それにもかかわらず、Debian の複製可能なビルドプログラムは、ユーザーに信頼を保証するように設計されています。 Debian などのシステムでセキュリティ監査を実行すると想像してください。ソースコードを読み、要件を満たしていることを確認してください。ただし、Debian などのシステムを使用する場合はソースコードを使用しません。ディストリビューションが提供するバイナリを使用します。バイナリが実際にレビューしたソースコードと一致するかどうかどうかを確認できますか?
現時点では、バイナリを構築するために使用されたシステムが破損しているか、パッケージマネージャがソースコードと一致しない破損したバイナリをアップロードした可能性があります。
再現可能なビルドでは、公開されたソースコードを取得し、バイナリを再構築し、アーカイブに公開されたバイナリとバイト単位で同じバイナリを取得するのに十分な情報をバイナリに提供します。これはソースコードがバイナリと一致することを証明するので、バイナリの構築に役立つ他のすべてのバイナリについても同じであると言える限り、ソースコードの分析結果をバイナリにも適用できます。再分析。これは、関連するコンパイラ、ライブラリなどを再現可能に構築できる必要があるため、ディストリビューション全体を再現可能に構築できることを意味します。Debian 再現可能ビルドを目指して。