https://www.opennet.me/openforum/vsluhforumID3/139869.html Дистрибутив Arch Linux обеспечил воспроизводимую сборку образов контейнеров, позволяющую убедиться, что поставляемые в образе бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений. Воспроизводимые образы Arch Linux размещены в Docker Hub с тегом repro. Любой желающий может собрать из исходного кода образ контейнера бит в бит совпадающий с распространяемыми проектом готовыми образами, и убедиться, что сборочная инфраструктура дистрибутива, компилятор и сборочный инструментарий не скомпрометированы...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65247<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#22 Tue, 21 Apr 2026 09:42:54 GMT А если подписали не совсем то, что должно бы соответствовать своим исходникам. Но джентльменам надо верить.<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#20 Tue, 21 Apr 2026 09:07:59 GMT &gt;Идентифицировать программы для трекинга?<br><br>Для того, чтобы подтвердить, что программа собрана из тех исходников, которые выложены в общий доступ и не содержит в себе какого-то скрытого бекдора.<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#19 Tue, 21 Apr 2026 08:47:24 GMT А чем не устраивает один апк под олну архитектуру?<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#18 Tue, 21 Apr 2026 08:37:12 GMT а как вы боретесь с пакетами, которые не помещаются в контейнеры? <br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#17 Tue, 21 Apr 2026 08:12:09 GMT Шёл 2026 год, а арчеводы переизобретают NixOS.<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#15 Tue, 21 Apr 2026 07:23:43 GMT С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на любом дистре с произвольн&#8224;м DE. Независимо от того под чем изначально пилилась.<br><br>Но на счёт безопасности - попадёт бэкдор и его спокойно потащат везде, обеспечив бинарное соответствие и запускаемость как у exe на винде. Контейнер подписан - можно хоть на уровне ядра запускать))<br><br>Тут подход от F-Droid будет логичнее: сборка с сырцов заревьюренного apk под нужную архитектуру с полным набором зависимостей. Там и бэкдор выпилят (nekogram), и мусор выбросят (аналитика / реклама / метрики), и от всякой чертовщины отвяжут (gms). Родив действительно годный билд) Ещё дали им возможность split apk пилить - вообще имба была бы.<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#14 Tue, 21 Apr 2026 07:14:21 GMT Почему не сделать как с F-Droid?<br>Воспроизводимый бинарник, с анализом сырцов?<br><br>Недавно с Nekogram скандал был https://www.opennet.me/opennews/art.shtml?num=65130 и подход F-Droid позволил избежать бэкдора.<br><br>Сейчас Arch собрал бы контейнер с бэкдором и выдал бы это за надёжное решение? - Потрясающе)<br><br>p.s.: я понимаю Идею контейнеров, где с сырцов собираю аналог APK, который Везде Работает Полноценно. Но стоит добавить анализ самих сырцов, хотя бы через AI и делать минимальное ревью.<br>p.p.s.: пересбор сырцов именно под Arch без контейнера просить - чрезмерно, понимаю. Разве что Вульву пинать, чтобы это всё тащила под свои Deck девайсы.<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#13 Tue, 21 Apr 2026 07:03:54 GMT linux from scratch помноженный на gentoo<br> https://www.opennet.me/openforum/vsluhforumID3/139869.html#12 Tue, 21 Apr 2026 06:57:41 GMT Если нужно верифицировать пакет, то есть подписи. Зачем воспроизводимые сборки? Идентифицировать программы для трекинга?<br>