Galios talpa Atkuriamų versijų siūlymas Linux sistemoje yra skaidrumo ir saugumo ženklas kuriuose šiuo metu veikia įvairūs platinimai ir kuriuos jau siūlo kiti.
To svarba slypi tame, kad š leisti tiek kūrėjams, tiek tyrėjams, tiek vartotojams patikrinkite, ar paskirstytas dvejetainis failas buvo sukurtas teisingai iš pateikto šaltinio kodo ir nebuvo pakeistas.
šiek tiek pasitarė Linux dokumentacija, galime suprasti, kad:
Paprastai pageidautina, kad sukūrus tą patį šaltinio kodą naudojant tą patį įrankių rinkinį būtų galima atkurti, tai yra, kad rezultatas visada būtų lygiai toks pat. Tai leidžia patikrinti, ar dvejetainio paskirstymo arba įterptosios sistemos kūrimo infrastruktūra nebuvo pažeista. Tai taip pat gali padėti lengviau patikrinti, ar šaltinio ar įrankio pakeitimas neturi įtakos gaunamiems dvejetainiams failams.
O Linux ir apskritai visos atvirojo kodo programinės įrangos atveju atkuriamos kompiliacijos yra būtini siekiant užtikrinti, kad bendruomenė galėtų patikrinti ir tikrinti programinę įrangą Be to, tai leidžia aptikti kenkėjiškus pakeitimus.
„openSUSE Factory“ dabar siūlo atkuriamus po bitus
Priežastis tai paminėti yra ta, kad projektas „openSUSE“ pristatė bitų po bitų atkuriamų konstrukcijų palaikymą savo saugyklą „openSUSE“ gamykla, kuris yra „openSUSE Tumbleweed“ platinimo pagrindas.
Šis atnaujinimas Užtikrina, kad paskirstytas dvejetainis pakuotėse yra generuojami nuosekliai iš pateikto šaltinio kodo, neįtraukiant paslėptų pakeitimų ir, kaip minėjome, tai yra naudinga tai, kad bet kuris vartotojas gali pats patikrinti, ar siūlomos versijos tiksliai atitinka versijas, sugeneruotas iš šaltinio kodų.
Naujausias pavyzdys yra tas, kad atkuriamos versijos leidžia sukurti įrodymą, tiesiog atkuriant ir palyginus rezultatą, kad GCC versijos, kurios šaltinis buvo ištrauktas su įsipareigojimu xz, nebuvo atlikta; Šis procesas buvo atliktas be poreikio pakeisti inžineriją, kaip įvyko kompromisas. Panašiai buvo pranešta, kad atkuriamos versijos buvo naudingos tiriant xz kompromisą
Grojami kūriniai pasiekiami atsižvelgiant į tokias detales kaip priklausomybių tikslumas, naudojant tas pačias kūrimo įrankių versijas ir konfigūracijas, identišką numatytųjų parinkčių ir nustatymų rinkinį, išsaugant failų tvarką versijoje (naudojant nuoseklius rūšiavimo metodus) ir išjungiant kompiliatoriaus nenuolatinę informaciją, pvz., atsitiktines reikšmes, failo kelio nuorodos ir kompiliavimo datos bei laiko detalės
Galimybė patikrinti dvejetainį siūlo papildomą saugumo lygį nepasitikėdami vien tik kompiliatoriaus infrastruktūra. Tai labai svarbu, nes pažeidžiant kompiliatorių arba kūrimo įrankius gali būti įterpiami kenksmingi elementai arba gali būti paslėptų dvejetainių failų pakeitimų.
Pavyzdžiui, openSUSE kūrėjai vientisumui užtikrinti naudojo kartojamas konstrukcijas dvejetainių po garsiojo užpakalinių durų incidento, aptikto xz pakete. Šiuo atveju pažeista „liblzma“ biblioteka, naudojama failams su GCC kodu išspausti, galėjo įvesti kenkėjiškų GCC kodo pakeitimų, o tai savo ruožtu galėjo paveikti surinktas programas.
Svarbu pažymėti, kad Factory saugykla yra skirta ne galutiniams vartotojams, o pirmiausia platinimo kūrėjams. Taip yra todėl, kad jo stabilumas ne visada garantuojamas.
Paketai, pridėti prie gamyklos, atliekami automatizuotu testavimu naudojant openQA. Atlikus šiuos testus ir patikrinus priklausomybės būsenos nuoseklumą, saugyklos turinys kelis kartus per savaitę sinchronizuojamas su veidrodžiais. Galutinis šio proceso rezultatas išleidžiamas kaip openSUSE Tumbleweed, kuris yra stabilus ir patikimas platinimas, kuriuo galutiniai vartotojai gali naudotis drąsiai.
Kakleliai domina sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.