Reproductibilité garantie pour les images live de Debian Bookworm

 (lwn.net)
1 points par GN⁺ 2025-03-27 | 1 commentaires | Partager sur WhatsApp

  • Images live de Debian bookworm entièrement reproductibles

    • Le développeur Debian Roland Clobus a annoncé, dans une courte note publiée sur la liste de diffusion Reproducible Builds, que les images live de Debian 12.10 ("bookworm") sont désormais reproductibles à 100 %
    • Des informations sur les images live reproductibles et Debian Live sont disponibles sur le wiki Debian

  • Informations sur les droits d’auteur

    • © 2025, les droits d’auteur appartiennent à Eklektix, Inc.
    • Les commentaires et publications publiques restent soumis au droit d’auteur de leurs auteurs
    • Linux est une marque déposée de Linus Torvalds

À lire aussi

1 commentaires

 
GN⁺ 2025-03-27
Avis Hacker News
  • Un effort énorme. Il y a encore quelques années, cela relevait du rêve. Félicitations à toutes les personnes impliquées, en particulier à celles qui ont porté cet effort
  • Je ne comprends pas comment on parvient à rendre les builds reproductibles : qu’en est-il des métadonnées des fichiers, par exemple les horodatages de création/modification ? Elles sont falsifiées ? Ou bien ces données sont-elles considérées comme non importantes (c’est-à-dire que deux fichiers avec des métadonnées différentes mais un contenu identique devraient avoir la même somme de contrôle une fois hachés) ?
  • L’infrastructure de build de Debian est-elle elle aussi reproductible ? Si quelqu’un voulait injecter du code malveillant dans les binaires des paquets Debian (sans l’injecter dans les sources), il faudrait sans doute cibler l’infrastructure de build (compilateur, éditeur de liens, ainsi que le code wrapper écrit autour)
    • Par ailleurs, est-ce que d’autres personnes compilent aussi ces images, et existe-t-il une preuve que les serveurs de compilation Debian n’ont pas été compromis ?
  • Quelle est l’importance des builds reproductibles, et en quoi diffèrent-ils d’une distribution classique ?
  • Nouvelle impressionnante. Beau travail
  • C’est une étape majeure
  • Je débute sur ce sujet. De quelles façons un build peut-il ne pas être reproductible ? Autrement dit, quelles parties du processus de build peuvent produire une sortie non déterministe ? Est-ce que des gens intègrent des éléments comme des horodatages dans leurs builds ?
  • Bien, ces images live pourraient servir de base à un workflow d’« OS immuable » basé sur Debian
  • Ces images live sont-elles prêtes pour cloud-init ? Un ISO live cloud-init en mémoire semble parfait pour une infrastructure immuable, n’importe où