Enquanto o Fedora 41 no final de 2024 tem como objetivo ter mais compilações de pacotes reproduzíveis, o openSUSE Factory já alcançou um marco significativo em compilações reprodutíveis bit a bit.
Desde o mês passado, o openSUSE Factory vem produzindo compilações reprodutíveis bit a bit sem assinaturas incorporadas. Os pacotes do OpenSUSE Tumbleweed para essa distribuição de rolling-release estão sendo verificados para compilações reprodutíveis bit a bit.
openSUSE Factory tem compilações reprodutíveis bit a bit
O SUSE/openSUSE ainda está verificando se todos os pacotes estão produzindo compilações reproduzíveis, mas até agora parece que 95% ou mais dos pacotes estão funcionando.
Compilações reprodutíveis são de crescente interesse da indústria para verificação de segurança e qualidade, com muitas distribuições Linux buscando abordagens semelhantes.
“Em março, a configuração para a construção do openSUSE Factory foi alterada para ser reprodutível bit a bit (exceto para a assinatura incorporada). Em seguida, os primeiros pacotes do openSUSE Tumbleweed foram verificados como reprodutíveis bit a bit. Obrigado a todos que ajudaram a fazer isso acontecer. Foi uma melhoria importante. Levará algum tempo para fazer essa verificação para todos os pacotes para ver quantos de nossos pacotes são reproduzíveis para este detalhe. Verificações anteriores, embora ignorando algumas diferenças que isso corrigiu, tiveram sucesso para mais de 95% dos pacotes.
“Compilações reproduzíveis têm uma infinidade de usos para segurança e qualidade. Para melhorar ainda mais sua utilidade, compilações reproduzíveis precisam ser combinadas com outras técnicas, como revisão de código pós-mesclagem distribuída e designs baseados em recursos. Um exemplo recente é que compilações reprodutíveis permitem a criação de provas, simplesmente reconstruindo e comparando o resultado, de que uma compilação GCC cuja fonte foi extraída com um xz comprometido não foi comprometida; Esse processo foi feito sem a necessidade de engenharia reversa de como o comprometimento ocorreu. Da mesma forma, compilações reprodutíveis foram relatadas como sendo úteis durante as investigações do comprometimento xz. Compilações reprodutíveis permitem uma colaboração que, de outra forma, não seria possível, apoiando argumentos mais cientificamente embasados para a segurança, que podem ser verificados de forma independente.”
Mais detalhes sobre o openSUSE Factory gerando compilações reproduzíveis para pacotes estão acessíveis no blog do openSUSE.