Imagens live do Debian Bookworm agora são reproduzíveis

 (lwn.net)
1 pontos por GN⁺ 2025-03-27 | 1 comentários | Compartilhar no WhatsApp

  • Imagens live do Debian bookworm totalmente reproduzíveis

    • O desenvolvedor do Debian Roland Clobus anunciou, por meio de um breve comunicado na lista de discussão Reproducible Builds, que as imagens live do Debian 12.10 ("bookworm") agora são 100% reproduzíveis
    • Informações sobre imagens live reproduzíveis e sobre o Debian Live estão disponíveis no wiki do Debian

  • Informações de direitos autorais

    • © 2025, direitos autorais pertencem à Eklektix, Inc.
    • Comentários e publicações públicas têm seus direitos autorais pertencentes aos autores
    • Linux é uma marca registrada de Linus Torvalds

Leituras relacionadas

1 comentários

 
GN⁺ 2025-03-27
Comentários do Hacker News
  • É um esforço enorme. Até poucos anos atrás, isso parecia um sonho. Parabéns a todos os envolvidos, especialmente a quem liderou esse esforço
  • Não entendo como se alcança a reprodutibilidade dos builds: e os metadados dos arquivos, por exemplo timestamps de criação/modificação, como ficam? Eles são forjados? Ou esses dados são considerados sem importância (isto é, quando dois arquivos com metadados diferentes têm o mesmo conteúdo, deve-se considerar que eles deveriam ter o mesmo checksum ao serem hasheados)?
  • A infraestrutura de build do Debian também é reproduzível? Se alguém quisesse injetar código malicioso nos binários dos pacotes Debian (sem injetá-lo no código-fonte), parece que teria de mirar na infraestrutura de build (compilador, linker e o código wrapper escrito ao redor deles)
    • Além disso, há outras pessoas compilando essas imagens, e existe alguma evidência de que os servidores de compilação do Debian não foram comprometidos?
  • Qual é a importância dos builds reproduzíveis e em que eles diferem de uma distribuição comum?
  • Notícia incrível. Bom trabalho
  • Isso é um grande marco
  • Sou iniciante nesse assunto. De que maneiras um build pode não ser reproduzível? Ou seja, que partes do processo de build podem retornar saída não determinística? As pessoas estão colocando coisas como timestamps nos builds?
  • Ótimo, essas imagens live podem servir de base para um fluxo de trabalho de "OS imutável" baseado em Debian
  • Essas imagens live estão preparadas para cloud-init? Um ISO live com cloud-init em memória parece perfeito para infraestrutura imutável em qualquer lugar