forum.opennet.ru - "В Arch Linux обеспечена воспроизводимая сборка образов контейнеров" (17)

"В Arch Linux обеспечена воспроизводимая сборка образов контейнеров"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Arch Linux обеспечена воспроизводимая сборка образов контейнеров"	+/–
Сообщение от opennews (?), 20-Апр-26, 22:08
Дистрибутив Arch Linux обеспечил воспроизводимую сборку образов контейнеров, позволяющую убедиться, что поставляемые в образе бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений. Воспроизводимые образы Arch Linux размещены в Docker Hub с тегом repro. Любой желающий может собрать из исходного кода образ контейнера бит в бит совпадающий с распространяемыми проектом готовыми образами, и убедиться, что сборочная инфраструктура дистрибутива, компилятор и сборочный инструментарий не скомпрометированы... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65247
Ответить \| Правка \| Cообщить модератору

Оглавление

Правильно Вот бы пакеты такие были, Профессор Кислвх Щей (?), 22:35 , 20-Апр-26, (2) +1

Не волнуйся, ради этого и делаются В один прекрасный день ты узнаешь, что пакет, Аноним (3), 22:48 , 20-Апр-26, (3) –9
86 2 - https reproducible archlinux org , Аноним (7), 00:34 , 21-Апр-26, (7)

Скрыто модератором, Аноним (10), 08:03 , 21-Апр-26, (10) –1

Что только не придумают лишь бы пакеты из исходников не собирать , Аноним (5), 00:12 , 21-Апр-26, (5) –7

А мы использованные пакеты пакуем в другие пакеты и кладём их в контейнеры По у, Аноним (8), 02:16 , 21-Апр-26, (8) +9

Лучше так чем лапша кода слипшаяся в один целый комок , Аноним (10), 08:04 , 21-Апр-26, (11)
а как вы боретесь с пакетами, которые не помещаются в контейнеры , Аноним (18), 11:37 , 21-Апр-26, (18) +1

Если нужно верифицировать пакет, то есть подписи Зачем воспроизводимые сборки , Аноним (12), 09:57 , 21-Апр-26, (12)

С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на л, Bob (??), 10:23 , 21-Апр-26, (15) +1

А чем не устраивает один апк под олну архитектуру , Хру (?), 11:47 , 21-Апр-26, (19)

Для того, чтобы подтвердить, что программа собрана из тех исходников, которые вы, Аноним (20), 12:07 , 21-Апр-26, (20)
А если подписали не совсем то, что должно бы соответствовать своим исходникам Н, Аноним (22), 12:42 , 21-Апр-26, (22) +2
Вот есть подписанный пакет А есть набор исходников, из которого он якобы собран, Aliech (ok), 21:06 , 21-Апр-26, (29)

linux from scratch помноженный на gentoo, sunjob (ok), 10:03 , 21-Апр-26, (13) –1
Почему не сделать как с F-Droid Воспроизводимый бинарник, с анализом сырцов Неда, Bob (??), 10:14 , 21-Апр-26, (14)
Шёл 2026 год, а арчеводы переизобретают NixOS , Аноним (20), 11:12 , 21-Апр-26, (17) +1

Сообщения [Сортировка по времени | RSS]

2. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +1 +/–

Сообщение от Профессор Кислвх Щей (?), 20-Апр-26, 22:35

Правильно! Вот бы пакеты такие были

Ответить | Правка | Наверх | Cообщить модератору

3. "-" –9 +/–

Сообщение от Аноним (3), 20-Апр-26, 22:48

Не волнуйся, ради этого и делаются. В один прекрасный день ты узнаешь, что пакет с каким-нибудь dupes заменён на докер-контейнер на полгига, потому что "мешает болько б00мжам с музейными экспонатами i486", "надо двигаться дальше" и "есть более рациональные способы потратить время Сотрудников Дистрибутива, чем пердолинг с пакетами".

Ответить | Правка | Наверх | Cообщить модератору

7. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +/–

Сообщение от Аноним (7), 21-Апр-26, 00:34

86.2% - https://reproducible.archlinux.org/

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. Скрыто модератором –1 +/–

Сообщение от Аноним (10), 21-Апр-26, 08:03

Это все чего они добились за 24 года?

Ответить | Правка | Наверх | Cообщить модератору

5. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." –7 +/–

Сообщение от Аноним (5), 21-Апр-26, 00:12

Что только не придумают лишь бы пакеты из исходников не собирать.

Ответить | Правка | Наверх | Cообщить модератору

8. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +9 +/–

Сообщение от Аноним (8), 21-Апр-26, 02:16

А мы использованные пакеты пакуем в другие пакеты и кладём их в контейнеры. По утрам приезжает большая машина и освобождает контейнеры. И тогда мы снова кладём в них пакеты.

Ответить | Правка | Наверх | Cообщить модератору

11. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +/–

Сообщение от Аноним (10), 21-Апр-26, 08:04

Лучше так чем лапша кода слипшаяся в один целый комок.

Ответить | Правка | Наверх | Cообщить модератору

18. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +1 +/–

Сообщение от Аноним (18), 21-Апр-26, 11:37

а как вы боретесь с пакетами, которые не помещаются в контейнеры?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

12. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +/–

Сообщение от Аноним (12), 21-Апр-26, 09:57

Если нужно верифицировать пакет, то есть подписи. Зачем воспроизводимые сборки? Идентифицировать программы для трекинга?

Ответить | Правка | Наверх | Cообщить модератору

15. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +1 +/–

Сообщение от Bob (??), 21-Апр-26, 10:23

С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на любом дистре с произвольн†м DE. Независимо от того под чем изначально пилилась.
Но на счёт безопасности - попадёт бэкдор и его спокойно потащат везде, обеспечив бинарное соответствие и запускаемость как у exe на винде. Контейнер подписан - можно хоть на уровне ядра запускать))
Тут подход от F-Droid будет логичнее: сборка с сырцов заревьюренного apk под нужную архитектуру с полным набором зависимостей. Там и бэкдор выпилят (nekogram), и мусор выбросят (аналитика / реклама / метрики), и от всякой чертовщины отвяжут (gms). Родив действительно годный билд) Ещё дали им возможность split apk пилить - вообще имба была бы.

Ответить | Правка | Наверх | Cообщить модератору

19. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +/–

Сообщение от Хру (?), 21-Апр-26, 11:47

А чем не устраивает один апк под олну архитектуру?

Ответить | Правка | Наверх | Cообщить модератору

20. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +/–

Сообщение от Аноним (20), 21-Апр-26, 12:07

>Идентифицировать программы для трекинга?
Для того, чтобы подтвердить, что программа собрана из тех исходников, которые выложены в общий доступ и не содержит в себе какого-то скрытого бекдора.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +2 +/–

Сообщение от Аноним (22), 21-Апр-26, 12:42

А если подписали не совсем то, что должно бы соответствовать своим исходникам. Но джентльменам надо верить.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

29. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +/–

Сообщение от Aliech (ok), 21-Апр-26, 21:06

Вот есть подписанный пакет. А есть набор исходников, из которого он якобы собран. А воспроизводимые сборки нужны для того, чтобы кто угодно мог взять и собрать себе из этих исходников пакет. И чтобы его контрольные суммы сошлись. Ну чтобы можно проверить того, кто собирает те самые подписанные пакеты, вдруг он не из этих исходников их собирает?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." –1 +/–

Сообщение от sunjob (ok), 21-Апр-26, 10:03

linux from scratch помноженный на gentoo

Ответить | Правка | Наверх | Cообщить модератору

14. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +/–

Сообщение от Bob (??), 21-Апр-26, 10:14

Почему не сделать как с F-Droid?
Воспроизводимый бинарник, с анализом сырцов?
Недавно с Nekogram скандал был https://www.opennet.me/opennews/art.shtml?num=65130 и подход F-Droid позволил избежать бэкдора.
Сейчас Arch собрал бы контейнер с бэкдором и выдал бы это за надёжное решение? - Потрясающе)
p.s.: я понимаю Идею контейнеров, где с сырцов собираю аналог APK, который Везде Работает Полноценно. Но стоит добавить анализ самих сырцов, хотя бы через AI и делать минимальное ревью.
p.p.s.: пересбор сырцов именно под Arch без контейнера просить - чрезмерно, понимаю. Разве что Вульву пинать, чтобы это всё тащила под свои Deck девайсы.

Ответить | Правка | Наверх | Cообщить модератору

17. "В Arch Linux обеспечена воспроизводимая сборка образов конте..." +1 +/–

Сообщение от Аноним (20), 21-Апр-26, 11:12

Шёл 2026 год, а арчеводы переизобретают NixOS.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+1 +/–
Сообщение от Профессор Кислвх Щей (?), 20-Апр-26, 22:35
Правильно! Вот бы пакеты такие были
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "-"	–9 +/–
	Сообщение от Аноним (3), 20-Апр-26, 22:48
	Не волнуйся, ради этого и делаются. В один прекрасный день ты узнаешь, что пакет с каким-нибудь dupes заменён на докер-контейнер на полгига, потому что "мешает болько б00мжам с музейными экспонатами i486", "надо двигаться дальше" и "есть более рациональные способы потратить время Сотрудников Дистрибутива, чем пердолинг с пакетами".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+/–
	Сообщение от Аноним (7), 21-Апр-26, 00:34
	86.2% - https://reproducible.archlinux.org/
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	10. Скрыто модератором	–1 +/–
	Сообщение от Аноним (10), 21-Апр-26, 08:03
	Это все чего они добились за 24 года?
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	–7 +/–
Сообщение от Аноним (5), 21-Апр-26, 00:12
Что только не придумают лишь бы пакеты из исходников не собирать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+9 +/–
	Сообщение от Аноним (8), 21-Апр-26, 02:16
	А мы использованные пакеты пакуем в другие пакеты и кладём их в контейнеры. По утрам приезжает большая машина и освобождает контейнеры. И тогда мы снова кладём в них пакеты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+/–
	Сообщение от Аноним (10), 21-Апр-26, 08:04
	Лучше так чем лапша кода слипшаяся в один целый комок.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+1 +/–
	Сообщение от Аноним (18), 21-Апр-26, 11:37
	а как вы боретесь с пакетами, которые не помещаются в контейнеры?
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору

12. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+/–
Сообщение от Аноним (12), 21-Апр-26, 09:57
Если нужно верифицировать пакет, то есть подписи. Зачем воспроизводимые сборки? Идентифицировать программы для трекинга?
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+1 +/–
	Сообщение от Bob (??), 21-Апр-26, 10:23
	С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на любом дистре с произвольн†м DE. Независимо от того под чем изначально пилилась. Но на счёт безопасности - попадёт бэкдор и его спокойно потащат везде, обеспечив бинарное соответствие и запускаемость как у exe на винде. Контейнер подписан - можно хоть на уровне ядра запускать)) Тут подход от F-Droid будет логичнее: сборка с сырцов заревьюренного apk под нужную архитектуру с полным набором зависимостей. Там и бэкдор выпилят (nekogram), и мусор выбросят (аналитика / реклама / метрики), и от всякой чертовщины отвяжут (gms). Родив действительно годный билд) Ещё дали им возможность split apk пилить - вообще имба была бы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+/–
	Сообщение от Хру (?), 21-Апр-26, 11:47
	А чем не устраивает один апк под олну архитектуру?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+/–
	Сообщение от Аноним (20), 21-Апр-26, 12:07
	>Идентифицировать программы для трекинга? Для того, чтобы подтвердить, что программа собрана из тех исходников, которые выложены в общий доступ и не содержит в себе какого-то скрытого бекдора.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	22. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+2 +/–
	Сообщение от Аноним (22), 21-Апр-26, 12:42
	А если подписали не совсем то, что должно бы соответствовать своим исходникам. Но джентльменам надо верить.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	29. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+/–
	Сообщение от Aliech (ok), 21-Апр-26, 21:06
	Вот есть подписанный пакет. А есть набор исходников, из которого он якобы собран. А воспроизводимые сборки нужны для того, чтобы кто угодно мог взять и собрать себе из этих исходников пакет. И чтобы его контрольные суммы сошлись. Ну чтобы можно проверить того, кто собирает те самые подписанные пакеты, вдруг он не из этих исходников их собирает?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору

13. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	–1 +/–
Сообщение от sunjob (ok), 21-Апр-26, 10:03
linux from scratch помноженный на gentoo
Ответить \| Правка \| Наверх \| Cообщить модератору

14. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+/–
Сообщение от Bob (??), 21-Апр-26, 10:14
Почему не сделать как с F-Droid? Воспроизводимый бинарник, с анализом сырцов? Недавно с Nekogram скандал был https://www.opennet.me/opennews/art.shtml?num=65130 и подход F-Droid позволил избежать бэкдора. Сейчас Arch собрал бы контейнер с бэкдором и выдал бы это за надёжное решение? - Потрясающе) p.s.: я понимаю Идею контейнеров, где с сырцов собираю аналог APK, который Везде Работает Полноценно. Но стоит добавить анализ самих сырцов, хотя бы через AI и делать минимальное ревью. p.p.s.: пересбор сырцов именно под Arch без контейнера просить - чрезмерно, понимаю. Разве что Вульву пинать, чтобы это всё тащила под свои Deck девайсы.
Ответить \| Правка \| Наверх \| Cообщить модератору

17. "В Arch Linux обеспечена воспроизводимая сборка образов конте..."	+1 +/–
Сообщение от Аноним (20), 21-Апр-26, 11:12
Шёл 2026 год, а арчеводы переизобретают NixOS.
Ответить \| Правка \| Наверх \| Cообщить модератору