Debian está a caminho de se tornar o que poderia ser o primeiro sistema operacional para provar a origem dos seus binários, diz tecnólogo Micah Lee.
O feito permitirá que qualquer pessoa para confirmar de forma independente que os binários do Debian foram construídos a partir de um pacote fonte relatado.
Até agora, a equipe do projeto dedicado à confirmando a reprodutibilidade de compilações tem derrubado 83 por cento dos pacotes de código fonte dentro do arquivo principal da distribuição instável.
Logo debian poderia ser o primeiro sistema operacional que pode provar que seus binários foram compilados a partir do código fonte publicados http://ift.tt/1a06nwJ
- Micah Lee (micahflee) 22 de fevereiro de 2015 O esforço não será concluído a tempo para o lançamento da próxima versão do Debian, codinome Jessie, mas podia ver reproduzível constrói um recurso para a seguinte versão estável apelidado estiramento.
"A equipe desenvolveu o debbindiff ferramenta para fornecer diffs em profundidade detalhadas de pacotes binários", disse o Debian em uma nota relatório .
"Os pacotes são, então, construiu duas vezes onjenkins.debian.net, e os resultados de reprodutibilidade são relatados no Debian Package Tracker.
O [reprodutibilidade] equipa está a considerar a apresentação de uma proposta para tornar reproduzível constrói uma meta de liberação para Stretch, a próxima versão estável após Jessie ".
A reprodutibilidade é importantes tecnólogos acordo Mike Perry e Seth Schoen, porque pode ajudar a fechar lacunas de transparência que existem na proveniência dos binários. Eles apontam para a necessidade de reprodutibilidade em uma palestra de novembro no Mozilla. Aquela conversa incluiu a seguinte declaração:
"Muitas vezes falamos como se software open source não pode conter backdoors ou malware porque seu código-fonte é 'publicada', tornando qualquer código potencialmente malicioso visível. Porém, os processos de liberação de software do mundo real têm grandes lacunas de transparência que não estejam abrangidos por a maioria das práticas de desenvolvimento open source existentes. A maior diferença é que tais processos de compilação e de embalagem não são reproduzíveis. Tentando recriar esses processos normalmente produz um resultado diferente. Isso significa que os usuários não podem verificar diretamente que as versões binárias que baixar e usar, na verdade, criado a partir das árvores de origem supostamente correspondentes.
Pior, os boffins Tor e Electronic Frontiers dizer, aqueles liberação não pode assegurar que um compromisso em sua infra-estrutura não introduziu uma pequena e todo-mas falha indetectável em uma versão binária. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário