Debian 宣布强制要求可复现构建,新软件包未通过将被阻止迁移至测试分支
-
Debian 发布团队成员 Paul Gevers 于 5 月 10 日在 debian-devel-announce 邮件列表发布公告,宣布 Debian 将正式强制要求所有软件包实现可复现构建(reproducible builds)。自公告发布之日起,Debian 的软件包迁移工具已启用检测机制:无法通过可复现性验证的新软件包将被阻止进入测试分支,测试分支中现有软件包若出现可复现性退步同样会被拦截。此举相当于为可复现性水平设置了一个"棘轮",确保整体标准只进不退。
不过,Gioele Barabucci 随即指出,此处的"可复现"特指在 Debian 官方构建环境(buildd)的某个实例中可复现,比可复现构建项目的通常定义更为受限——后者的长期目标是让任意用户在本地系统独立构建出与官方二进制包逐比特完全一致的结果。尽管如此,LWN 与社区普遍认为这仍是可复现构建运动的重要里程碑。目前用户已可通过
debrebuild工具在本地验证 Debian 官方构建守护进程未向软件包注入恶意内容;长尾问题尚在处理中,此次政策变更的首要目标是防止可复现性状况继续恶化。
Debian to require reproducible builds
Paul Gevers has slipped an interesting bit of news into a 'bits from the release team' message: [...]
LWN.net (lwn.net)