我在 The Register of the UK 上找到了一篇关于 Debian 中可重现构建的文章。我从中无法理解太多。有人可以帮我简单做一下吗?这是链接:可重复的构建
答案1
理解这一切的规范起点是肯·汤普森 (Ken Thompson)关于信任信任的思考,他证明了即使您从源代码重建,您也不能真正相信一个系统没有后门。
尽管如此,Debian 中的可复制构建计划旨在帮助为用户提供信任保证。想象一下您正在 Debian 这样的系统上运行安全审核:您通读源代码并确保它满足您的要求。但是当你使用像 Debian 这样的系统时,你不使用源代码;而是使用源代码。您使用发行版提供的二进制文件。您如何确定二进制文件实际上与您审核过的源代码相匹配?
就目前情况而言,您不能:用于构建二进制文件的计算机可能已受到损害,或者甚至包维护者上传了与源代码不匹配的受损二进制文件。
通过可重现的构建,二进制文件附带了足够的信息,您可以获取已发布的源代码、重建二进制文件并获取与存档中发布的二进制文件逐字节相同的二进制文件。这证明源代码确实与二进制文件匹配,因此源代码的分析结果也可以应用于二进制文件,只要您可以对有助于构建您的二进制文件的所有其他二进制文件说同样的话。重新分析。这意味着您需要能够可重复地构建所涉及的编译器、库等;因此您需要能够可重复地构建完整的发行版,这就是Debian 可重现的构建旨在.
答案2
这意味着 Debian 将保证您拥有的 Debian 二进制包完全来自源代码,而不是来自其他代码。他们将在包跟踪器中保存有关二进制文件的信息。
当您在 Linux 发行版上获取二进制包时,您无法真正确定二进制文件是否来自该发行版发布的源代码。