Воспроизводимые сборки — это одна из целей дистрибутивов Linux, направленная на обеспечение безопасности и доверия, кульминация, которая еще не достигнута и которая также ничего не гарантирует, но которая остается неизбежным путем для каждого уважающего себя решения с открытым исходным кодом. Ну, openSUSE добился этого. Со многими нюансами.
По сути, проблема воспроизводимых сборок заключается в том, чтобы упростить воспроизведение процесса сборки всех пакетов из их исходного кода с целью обнаружения возможных изменений и, следовательно, улучшения целостности системы. Это давнее стремление дистрибутивов Linux, основанных на прекомпилированных версиях, читай подавляющее большинство, включая корпоративные дистрибутивы.
Когда сопровождающий компилирует пакет, он может изменить его исходный код, и на самом деле это то, что обычно делается либо для улучшения его интеграции, его функциональности, либо для устранения нежелательных аспектов. Однако также существует вероятность того, что это может быть сделано с менее благородными намерениями, о чем конечный пользователь не может знать. На этот фланг нацелены воспроизводимые сборки.
Но это непростая цель. Мы уже много лет говорим об этом вопросе, и, несмотря на то, что до его достижения очень мало времени, кажется, что он движется от малого к нулю. Одним из дистрибутивов, который больше всего стремился достичь цели, был openSUSE … и, наконец, ему это удалось, как мы отмечали выше, со многими нюансами.
Как сообщается в openSUSE News, «важная веха была достигнута после демонстрации того, что можно создать полезный дистрибутив Linux со 100% идентичными битовыми пакетами». Или, что то же самое, разработчики openSUSE получили работающий воспроизводимый дистрибутив, а не зажатую базовую систему, что также не является обычным явлением, поскольку всегда остается что-то, что не приживается.
Имейте в виду, что этот подвиг был достигнут с помощью RBOS (Playable-openSUSE), варианта openSUSE в качестве доказательства концепции, то есть пригодной для использования системы, но не имеющей ничего общего с полноценным дистрибутивом общего назначения, таким как сама openSUSE, Leap или Tumbleweed. Это также значительный шаг вперед, от которого выиграют базовые дистрибутивы, и на самом деле они в этом и находятся.
В отчете они объясняют, что из 16 000 пакетов исходного кода, доступных в openSUSE Factory, репозитории тестов, производном от Tumbleweed, около 300 по-прежнему вызывают проблемы с воспроизводимыми сборками, что дает понять, что путь еще предстоит пройти, но также и то, что он продвигается вперед: если год назад они были в 95%, сейчас они бы уже пошли на 98%. 100% — это еще одно пение.