Abo
  • Services:
Anzeige
Die meisten Debian-Pakete lassen sich reproduzierbar bauen.
Die meisten Debian-Pakete lassen sich reproduzierbar bauen. (Bild: Debian)

Linux-Distributionen: Mehr als 90 Prozent der Debian-Pakete reproduzierbar

Die meisten Debian-Pakete lassen sich reproduzierbar bauen.
Die meisten Debian-Pakete lassen sich reproduzierbar bauen. (Bild: Debian)

Das Reproducible-Builds-Projekt der Linux-Distribution Debian meldet neue Erfolgszahlen. Demnach lassen sich auf bestimmten Plattformen bereits 94 Prozent der Pakete reproduzierbar bauen.

Das seit einigen Jahren laufende Projekt für Reproducible Builds, das von Entwicklern der Linux-Distribution Debian gestartet worden ist, meldet einen großen Erfolg: 94 Prozent der Pakete von Debian für die 64-Bit x86-Architektur lassen sich inzwischen reproduzierbar von Quellcode in Binärcode übersetzen.

Anzeige

Reproduzierbare Builds für die Sicherheit

Nutzer von Linux-Distributionen wie Debian installieren ihre Software in der Regel über binäre Pakete und nicht direkt aus dem Quellcode, was ohne größere Umstände klappt, weil das Paketsystem Abhängigkeiten auflöst und dadurch das langwierige Bauen aus dem Quellcode wegfällt. Es ist die Aufgabe der Debian-Entwickler und -Maintainer, diese vorgefertigten Debian-Pakete aus dem Quellcode der jeweiligen Software zu bauen.

Bislang lässt sich allerdings nur schwer feststellen, ob ein Binärpaket tatsächlich aus dem angegebenen Quellcode übersetzt wurde. Im Buildprozess stecken nämlich einige dynamische Elemente, die sich mit jedem Build ändern und die reproduzierbaren Ergebnisse unmöglich machen. Schmuggelt also jemand bösartigen Code in den Buildprozess ein, fällt dies bei den fertigen Binärpaketen unter Umständen nicht auf.

Das Reproducible-Builds-Projekt will das nicht nur für Debian ändern. Es gestaltet den Buildprozess gleichförmig genug, um später anhand der Checksumme einer Binärdatei festzustellen, ob diese tatsächlich bit-identisch mit dem zugrundeliegenden Quellcode ist.

Die Idee geht bereits zurück auf das Jahr 2007. Ab 2013, auch im Zuge der Snowden-Enthüllungen, nahm das Reproducible-Builds-Projekt Gestalt an, vor allem die Tor- und Bitcoin-Entwickler zeigten für ihre Software Interesse. Spätestens seit der Vorstellung des Projekts auf der Fosdem im Jahr 2015 beteiligte sich ein größeres Team an diesen Arbeiten. Finanzielle Unterstützung erhält das Projekt von der Core Infrastructure Initiative (CII) der Linux-Foundation oder auch von Unternehmen wie Profitbricks und Codethink.

Mittlerweile kann es laut der aktuellen Ankündigung einige Erfolge vorweisen: Nicht nur haben sich diverse andere Projekte vom Sinn des Ganzen überzeugen lassen, etwa Arch Linux, Fedora, Open Suse, Lede, Tails, Free BSD und Net BSD. Auch die Upstream-Projekte nehmen die Reproduzierbarkeit in ihre Buildüberlegungen auf, schreibt Debian-Entwickler Mattia Rizzolo in einer Mail auf Debians Developer-Announce-Liste. Es hat sicher geholfen, dass die Macher das Reproducible-Builds-Projekt und die dazugehörigen Tools sowie die Webseite so distributionsunabhängig wie möglich gestalten.

Arbeit für weitere Pakete

Zugleich liefert der Entwickler aktuelle Zahlen für Debian: Demnach lassen sich immerhin 23.347 Pakete für Debian 9 alias Stretch reproduzierbar übersetzen. Das entspricht den eingangs genannten 94 Prozent. Während sich 95 Pakete überhaupt nicht bauen lassen, schlägt die Reproduzierbarkeit noch bei 1.319 Paketen fehl.

Dank den Daten auf der Projekt-Webseite lässt sich für die meisten Pakete auch im Detail ermitteln, warum noch Fehler auftreten. Schuld sind häufig in den Prozess eingebaute Zeitstempel, die jeden Build ungewollt verändern. In vielen Fällen gibt es bereits Bugreports, in einigen auch Patches, die darauf warten, dass die Maintainer sie einbauen.

Auch für die anderen Plattformen sehen die Zahlen für Debian 9 gut aus. Auf der i386-Plattform sind 91 Prozent der Pakete reproduzierbar, auf Arm64 gar 93 Prozent. Bei Armhf sind es immerhin rund 91 Prozent. Auch für Buster, die nächste Debian-Version, sehen die Zahlen ähnlich aus. Auf der Debconf 2017 dürfte das Thema und die dafür entstandenen Werkzeuge, etwa Diffoscope, Debrepro und Reprotest, eine Rolle spielen. Unter anderem ist ein Vortrag zu alternativen Möglichkeiten für das im Buildprozess zentrale .buildinfo-File geplant, denn hier ergeben sich nun auch neue Möglichkeiten, etwa für die Qualitätssicherung.


eye home zur Startseite
Hello_World 26. Jul 2017

Natürlich ist ein reproduzierbarer Build prinzipiell wünschenswert, das bestreitet doch...

JTR 25. Jul 2017

Wenn man die Bosonenschwingungen anschaut ist es eher fraglich ob so ein theoretisches...



Anzeige

Stellenmarkt
  1. ASC Automotive Solution Center AG, Düsseldorf
  2. Bosch Service Solutions Leipzig GmbH, Leipzig
  3. Teambank AG, Nürnberg
  4. SYNLAB Holding Deutschland GmbH, Augsburg


Anzeige
Blu-ray-Angebote
  1. (Blu-rays, 4K UHDs, Box-Sets und Steelbooks im Angebot)
  2. 61,99€
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Festnetz und Mobilfunk

    Telekom kämpft mit Zerstörungen durch den Orkan Friederike

  2. God of War

    Papa Kratos kämpft ab April 2018

  3. Domain

    Richard Gutjahr pfändet Compact-online.de

  4. Carsharing

    Drivenow und Car2Go wollen fusionieren

  5. Autonomes Fahren

    Alstom testet automatisierten Zugbetrieb

  6. Detectron

    Facebook gibt eigene Objekterkennung frei

  7. Mavic Air

    DJI präsentiert neuen Falt-Copter

  8. Apple

    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  9. 860 Evo und 860 Pro

    Samsungs SSDs sind flotter und sparsamer

  10. Mozilla

    Firefox Quantum wird mit Version 58 noch schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Rocketlab Billigrakete startet erfolgreich in Neuseeland
  2. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  3. SpaceX Geheimer Satellit der US-Regierung ist startklar

Zahlungsverkehr: Das Bankkonto wird offener
Zahlungsverkehr
Das Bankkonto wird offener
  1. Gerichtsurteil Internet- und Fernsehkunden müssen bei Umzug weiterzahlen
  2. Breitbandmessung Provider halten versprochene Geschwindigkeit fast nie ein
  3. EU-Verordnung Verbraucherschützer gegen Netzsperren zum Verbraucherschutz

  1. Re: Zum IT-Aspekt: Pfändung einer Domäne gehört...

    watwerbisdudenn | 06:41

  2. Re: Wieder online nach 27h

    Snooozel | 06:33

  3. Re: Das sehr spezielle Pech des Richard Gutjahr

    Icestorm | 06:27

  4. Re: Haltbarkeit

    Scorcher24 | 06:17

  5. Re: immer noch lahmer als Chrome..

    ArcherV | 06:13


  1. 18:19

  2. 18:08

  3. 17:53

  4. 17:42

  5. 17:33

  6. 17:27

  7. 17:14

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel