forum.opennet.ru - "В Arch Linux обеспечена воспроизводимая сборка образов контейнеров" (16)

"В Arch Linux обеспечена воспроизводимая сборка образов контейнеров"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Arch Linux обеспечена воспроизводимая сборка образов контейнеров"	+/–
Сообщение от opennews (?), 20-Апр-26, 22:08
Дистрибутив Arch Linux обеспечил воспроизводимую сборку образов контейнеров, позволяющую убедиться, что поставляемые в образе бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений. Воспроизводимые образы Arch Linux размещены в Docker Hub с тегом repro. Любой желающий может собрать из исходного кода образ контейнера бит в бит совпадающий с распространяемыми проектом готовыми образами, и убедиться, что сборочная инфраструктура дистрибутива, компилятор и сборочный инструментарий не скомпрометированы... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65247
Ответить \| Правка \| Cообщить модератору

Оглавление

Правильно Вот бы пакеты такие были, Профессор Кислвх Щей (?), 22:35 , 20-Апр-26, (2) +1

Не волнуйся, ради этого и делаются В один прекрасный день ты узнаешь, что пакет, Аноним (3), 22:48 , 20-Апр-26, (3) –9
86 2 - https reproducible archlinux org , Аноним (7), 00:34 , 21-Апр-26, (7)

Скрыто модератором, Аноним (10), 08:03 , 21-Апр-26, (10) –1

Что только не придумают лишь бы пакеты из исходников не собирать , Аноним (5), 00:12 , 21-Апр-26, (5) –7

А мы использованные пакеты пакуем в другие пакеты и кладём их в контейнеры По у, Аноним (8), 02:16 , 21-Апр-26, (8) +7

Лучше так чем лапша кода слипшаяся в один целый комок , Аноним (10), 08:04 , 21-Апр-26, (11) +1
а как вы боретесь с пакетами, которые не помещаются в контейнеры , Аноним (18), 11:37 , 21-Апр-26, (18)

Если нужно верифицировать пакет, то есть подписи Зачем воспроизводимые сборки , Аноним (12), 09:57 , 21-Апр-26, (12)

С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на л, Bob (??), 10:23 , 21-Апр-26, (15) +1

А чем не устраивает один апк под олну архитектуру , Хру (?), 11:47 , 21-Апр-26, (19)

Для того, чтобы подтвердить, что программа собрана из тех исходников, которые вы, Аноним (20), 12:07 , 21-Апр-26, (20)
А если подписали не совсем то, что должно бы соответствовать своим исходникам Н, Аноним (22), 12:42 , 21-Апр-26, (22) +1

linux from scratch помноженный на gentoo, sunjob (ok), 10:03 , 21-Апр-26, (13) –1
Почему не сделать как с F-Droid Воспроизводимый бинарник, с анализом сырцов Неда, Bob (??), 10:14 , 21-Апр-26, (14)
Шёл 2026 год, а арчеводы переизобретают NixOS , Аноним (20), 11:12 , 21-Апр-26, (17)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Профессор Кислвх Щей (?), 20-Апр-26, 22:35 +1 +/–

Правильно! Вот бы пакеты такие были

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #7

3. Сообщение от Аноним (3), 20-Апр-26, 22:48 –9 +/–

Не волнуйся, ради этого и делаются. В один прекрасный день ты узнаешь, что пакет с каким-нибудь dupes заменён на докер-контейнер на полгига, потому что "мешает болько б00мжам с музейными экспонатами i486", "надо двигаться дальше" и "есть более рациональные способы потратить время Сотрудников Дистрибутива, чем пердолинг с пакетами".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 21-Апр-26, 00:12 –7 +/–

Что только не придумают лишь бы пакеты из исходников не собирать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (7), 21-Апр-26, 00:34 +/–

86.2% - https://reproducible.archlinux.org/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10

8. Сообщение от Аноним (8), 21-Апр-26, 02:16 +7 +/–

А мы использованные пакеты пакуем в другие пакеты и кладём их в контейнеры. По утрам приезжает большая машина и освобождает контейнеры. И тогда мы снова кладём в них пакеты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #18

10. Сообщение от Аноним (10), 21-Апр-26, 08:03 Скрыто ботом-модератором –1 +/–

Это все чего они добились за 24 года?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от Аноним (10), 21-Апр-26, 08:04 +1 +/–

Лучше так чем лапша кода слипшаяся в один целый комок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от Аноним (12), 21-Апр-26, 09:57 +/–

Если нужно верифицировать пакет, то есть подписи. Зачем воспроизводимые сборки? Идентифицировать программы для трекинга?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #20, #22

13. Сообщение от sunjob (ok), 21-Апр-26, 10:03 –1 +/–

linux from scratch помноженный на gentoo

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Bob (??), 21-Апр-26, 10:14 +/–

Почему не сделать как с F-Droid?
Воспроизводимый бинарник, с анализом сырцов?
Недавно с Nekogram скандал был https://www.opennet.me/opennews/art.shtml?num=65130 и подход F-Droid позволил избежать бэкдора.
Сейчас Arch собрал бы контейнер с бэкдором и выдал бы это за надёжное решение? - Потрясающе)
p.s.: я понимаю Идею контейнеров, где с сырцов собираю аналог APK, который Везде Работает Полноценно. Но стоит добавить анализ самих сырцов, хотя бы через AI и делать минимальное ревью.
p.p.s.: пересбор сырцов именно под Arch без контейнера просить - чрезмерно, понимаю. Разве что Вульву пинать, чтобы это всё тащила под свои Deck девайсы.

Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Bob (??), 21-Апр-26, 10:23 +1 +/–

С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на любом дистре с произвольн†м DE. Независимо от того под чем изначально пилилась.
Но на счёт безопасности - попадёт бэкдор и его спокойно потащат везде, обеспечив бинарное соответствие и запускаемость как у exe на винде. Контейнер подписан - можно хоть на уровне ядра запускать))
Тут подход от F-Droid будет логичнее: сборка с сырцов заревьюренного apk под нужную архитектуру с полным набором зависимостей. Там и бэкдор выпилят (nekogram), и мусор выбросят (аналитика / реклама / метрики), и от всякой чертовщины отвяжут (gms). Родив действительно годный билд) Ещё дали им возможность split apk пилить - вообще имба была бы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19

17. Сообщение от Аноним (20), 21-Апр-26, 11:12 +/–

Шёл 2026 год, а арчеводы переизобретают NixOS.

Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 21-Апр-26, 11:37 +/–

а как вы боретесь с пакетами, которые не помещаются в контейнеры?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от Хру (?), 21-Апр-26, 11:47 +/–

А чем не устраивает один апк под олну архитектуру?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (20), 21-Апр-26, 12:07 +/–

>Идентифицировать программы для трекинга?
Для того, чтобы подтвердить, что программа собрана из тех исходников, которые выложены в общий доступ и не содержит в себе какого-то скрытого бекдора.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

22. Сообщение от Аноним (22), 21-Апр-26, 12:42 +1 +/–

А если подписали не совсем то, что должно бы соответствовать своим исходникам. Но джентльменам надо верить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Профессор Кислвх Щей (?), 20-Апр-26, 22:35	+1 +/–
Правильно! Вот бы пакеты такие были
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3, #7

3. Сообщение от Аноним (3), 20-Апр-26, 22:48	–9 +/–
Не волнуйся, ради этого и делаются. В один прекрасный день ты узнаешь, что пакет с каким-нибудь dupes заменён на докер-контейнер на полгига, потому что "мешает болько б00мжам с музейными экспонатами i486", "надо двигаться дальше" и "есть более рациональные способы потратить время Сотрудников Дистрибутива, чем пердолинг с пакетами".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 21-Апр-26, 00:12	–7 +/–
Что только не придумают лишь бы пакеты из исходников не собирать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (7), 21-Апр-26, 00:34	+/–
86.2% - https://reproducible.archlinux.org/
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #10

8. Сообщение от Аноним (8), 21-Апр-26, 02:16	+7 +/–
А мы использованные пакеты пакуем в другие пакеты и кладём их в контейнеры. По утрам приезжает большая машина и освобождает контейнеры. И тогда мы снова кладём в них пакеты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #11, #18

10. Сообщение от Аноним (10), 21-Апр-26, 08:03 Скрыто ботом-модератором	–1 +/–
Это все чего они добились за 24 года?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

11. Сообщение от Аноним (10), 21-Апр-26, 08:04	+1 +/–
Лучше так чем лапша кода слипшаяся в один целый комок.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

12. Сообщение от Аноним (12), 21-Апр-26, 09:57	+/–
Если нужно верифицировать пакет, то есть подписи. Зачем воспроизводимые сборки? Идентифицировать программы для трекинга?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15, #20, #22

13. Сообщение от sunjob (ok), 21-Апр-26, 10:03	–1 +/–
linux from scratch помноженный на gentoo
Ответить \| Правка \| Наверх \| Cообщить модератору

14. Сообщение от Bob (??), 21-Апр-26, 10:14	+/–
Почему не сделать как с F-Droid? Воспроизводимый бинарник, с анализом сырцов? Недавно с Nekogram скандал был https://www.opennet.me/opennews/art.shtml?num=65130 и подход F-Droid позволил избежать бэкдора. Сейчас Arch собрал бы контейнер с бэкдором и выдал бы это за надёжное решение? - Потрясающе) p.s.: я понимаю Идею контейнеров, где с сырцов собираю аналог APK, который Везде Работает Полноценно. Но стоит добавить анализ самих сырцов, хотя бы через AI и делать минимальное ревью. p.p.s.: пересбор сырцов именно под Arch без контейнера просить - чрезмерно, понимаю. Разве что Вульву пинать, чтобы это всё тащила под свои Deck девайсы.
Ответить \| Правка \| Наверх \| Cообщить модератору

15. Сообщение от Bob (??), 21-Апр-26, 10:23	+1 +/–
С одной стороны тут упор на то, что прога будет пахать одинаково полноценно на любом дистре с произвольн†м DE. Независимо от того под чем изначально пилилась. Но на счёт безопасности - попадёт бэкдор и его спокойно потащат везде, обеспечив бинарное соответствие и запускаемость как у exe на винде. Контейнер подписан - можно хоть на уровне ядра запускать)) Тут подход от F-Droid будет логичнее: сборка с сырцов заревьюренного apk под нужную архитектуру с полным набором зависимостей. Там и бэкдор выпилят (nekogram), и мусор выбросят (аналитика / реклама / метрики), и от всякой чертовщины отвяжут (gms). Родив действительно годный билд) Ещё дали им возможность split apk пилить - вообще имба была бы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #19

17. Сообщение от Аноним (20), 21-Апр-26, 11:12	+/–
Шёл 2026 год, а арчеводы переизобретают NixOS.
Ответить \| Правка \| Наверх \| Cообщить модератору

18. Сообщение от Аноним (18), 21-Апр-26, 11:37	+/–
а как вы боретесь с пакетами, которые не помещаются в контейнеры?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

19. Сообщение от Хру (?), 21-Апр-26, 11:47	+/–
А чем не устраивает один апк под олну архитектуру?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (20), 21-Апр-26, 12:07	+/–
>Идентифицировать программы для трекинга? Для того, чтобы подтвердить, что программа собрана из тех исходников, которые выложены в общий доступ и не содержит в себе какого-то скрытого бекдора.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

22. Сообщение от Аноним (22), 21-Апр-26, 12:42	+1 +/–
А если подписали не совсем то, что должно бы соответствовать своим исходникам. Но джентльменам надо верить.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12