openSUSE Factory ora ha build riproducibili bit per bit (ad eccezione della firma incorporata). La modifica è stata introdotta lo scorso mese di marzo. In queste settimane gli sviluppatori hanno operato gli opportuni controlli del caso sulla distro per rodare il sistema. Oggi arriva l'annuncio ufficiale.
Ci vorrà però ancora un po' di tempo per fare questa verifica per tutti i pacchetti e vedere quanti dei pacchetti sono riproducibili con questo dettaglio. Le verifiche precedenti, pur ignorando alcune differenze che sono state corrette da questa, hanno avuto successo per oltre il 95% dei pacchetti.
Le build riproducibili hanno una moltitudine di usi per la sicurezza e la qualità. Per migliorare ulteriormente la loro utilità, le build riproducibili devono essere combinate con altre tecniche, come la revisione distribuita del codice post-merge e i progetti basati sulle capacità.
Un esempio recente è che le build riproducibili consentono di dimostrare, semplicemente ricostruendo e confrontando il risultato, che una build di GCC il cui sorgente è stato estratto con un xz compromesso non è stata compromessa; questo processo è stato ottenuto senza dover fare il reverse engineering di come si è verificata la compromissione. Allo stesso modo, le build riproducibili sono state segnalate come utili durante le indagini sulla compromissione di xz.
Le build riproducibili consentono una collaborazione che altrimenti non sarebbe possibile, sostenendo argomentazioni di sicurezza più scientificamente fondate, che possono essere verificate in modo indipendente.
Leggi il contenuto originale su Marco's Box