Reproduzierbarkeit von Debian-Bookworm-Live-Images sichergestellt

 (lwn.net)
1 Punkte von GN⁺ 2025-03-27 | 1 Kommentare | Auf WhatsApp teilen

  • Debian-bookworm-Live-Images vollständig reproduzierbar

    • Der Debian-Entwickler Roland Clobus gab in einer kurzen Mitteilung an die Mailingliste für Reproducible Builds bekannt, dass die Live-Images von Debian 12.10 ("bookworm") nun zu 100 % reproduzierbar sind
    • Informationen zu reproduzierbaren Live-Images und zu Debian Live sind im Debian-Wiki verfügbar

  • Urheberrechtsinformationen

    • © 2025, Urheberrecht bei Eklektix, Inc.
    • Kommentare und öffentliche Beiträge unterliegen dem Urheberrecht der jeweiligen Verfasser
    • Linux ist eine eingetragene Marke von Linus Torvalds

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-27
Hacker-News-Kommentare
  • Ein gewaltiger Aufwand. Noch vor ein paar Jahren klang das wie ein Traum. Glückwunsch an alle Beteiligten, besonders an die, die diese Anstrengung angeführt haben.
  • Ich verstehe nicht, wie Reproduzierbarkeit bei Builds erreicht wird: Was ist mit Datei-Metadaten, zum Beispiel Erstellungs-/Änderungszeitstempeln? Werden die gefälscht? Oder gelten solche Daten als unwichtig (also dass zwei Dateien mit identischem Inhalt, aber unterschiedlichen Metadaten, beim Hashing dieselbe Prüfsumme haben sollten)?
  • Ist Debians Build-Infrastruktur ebenfalls reproduzierbar? Wenn jemand Schadcode in Debian-Paket-Binärdateien einschleusen wollte (ohne ihn in den Sourcecode einzuschleusen), müsste er dann nicht die Build-Infrastruktur ins Visier nehmen (Compiler, Linker und den darum geschriebenen Wrapper-Code)?
    • Kompiliert außerdem noch jemand anders diese Images, und gibt es Belege dafür, dass Debians Build-Server nicht kompromittiert wurden?
  • Was ist die Bedeutung reproduzierbarer Builds, und wie unterscheiden sie sich von einer normalen Distribution?
  • Erstaunliche Nachricht. Gut gemacht.
  • Das ist ein großer Meilenstein.
  • Ich bin Anfänger bei diesem Thema. Auf welche Weise kann ein Build nicht reproduzierbar sein? Also welche Teile des Build-Prozesses können nichtdeterministische Ausgaben erzeugen? Bauen Leute Dinge wie Zeitstempel in Builds ein?
  • Gut, diese Live-Images könnten die Grundlage für Debian-basierte "immutable OS"-Workflows sein.
  • Werden diese Live-Images für cloud-init vorbereitet? Eine In-Memory-cloud-init-Live-ISO wirkt wie perfekt für unveränderliche Infrastruktur überall.