A distribuição Fedora 41 terá compilações de pacotes reproduzíveis graças a um programa Rust. Continuando uma tendência trabalhada nos últimos lançamentos do Fedora Linux e de forma mais ampla no ecossistema de código aberto em geral para proteger a cadeia de suprimentos de software e garantir binários inalterados, o Fedora 41 tem como objetivo garantir compilações de pacotes mais reproduzíveis.
Como parte do esforço de compilações reprodutíveis no mundo do Fedora, o Fedora 41 está procurando empregar o programa “add-determinism” Rust para ajudar a garantir um melhor determinismo/consistência para tornar as compilações de software mais reprodutíveis.
A proposta de mudança recém-apresentada explica:
“add-determinism é um programa Rust que, como o próprio nome sugere, adiciona determinismo a arquivos que são dados como entrada, tentando padronizar metadados contidos em arquivos binários ou de origem para garantir consistência e fixação para $SOURCE_DATE_EPOCH em todas as instâncias. add-determinism é a “versão Fedora” do strip-nondeterminism do projeto Debian. Como o strip-nondeterminism é escrito em perl, é indesejável para uso no Fedora, pois não queremos puxar perl no buildroot para cada pacote.
Vale a pena notar que esta Mudança não pretende impor quaisquer requisitos específicos de reprodutibilidade nos pacotes do Fedora. Uma vez que essa mudança seja implementada e tenhamos passado por uma reconstrução em massa e possamos verificar que as causas comuns de irreprodutibilidade foram de fato removidas, podemos considerar novos passos. Mas isso será pelo menos um lançamento mais tarde.
Essa alteração adiciona uma pequena quantidade de tempo ao processamento de RPMs no final de uma compilação. Assim, pacotes contendo grandes quantidades ou tamanhos de arquivos são mais lentos, mas esse efeito não deve ser perceptível. Add-determinism toma medidas para garantir que ele não interfira com outros processadores POST buildroot como mangle-shebangs, python-hardlink, python-bytecompile. O padrão é não fazer modificações caso não entenda o arquivo de entrada ou haja outros problemas.”
Fedora 41 terá compilações de pacotes reproduzíveis graças a um programa Rust
Tudo em uma boa jogada para fornecer mais determinismo para compilações de pacotes do Fedora para ajudar com o esforço de compilações reproduzíveis. A proposta de mudança ainda precisa receber aprovação do Fedora Engineering and Steering Committee (FESCo), mas dada toda a conversa nos dias de hoje em torno da segurança da cadeia de suprimentos de software e compilações reproduzíveis, provavelmente passará bem para essa mudança entrar em vigor neste outono com o Fedora 41.
Aqueles curiosos sobre o pós-processador de aditivo Rust para redefinir campos de metadados podem encontrar o projeto no GitHub. Atualmente, existem processadores para arquivos ar, jar, javadoc e pyc.