NixOS yeniden üretilebilir derlemeler: Bağımsız olarak başarıyla yeniden derlenen minimal ISO

 (discourse.nixos.org)
1 puan yazan GN⁺ 2023-10-30 | 1 yorum | WhatsApp'ta paylaş
  • NixOS ekibi, Hydra tarafından yayımlanan nixos-minimal ISO’sunun bağımsız ve bit düzeyinde aynı bir yeniden derlemesini başarıyla tamamladı.
  • Reproducible Builds yaklaşımının başlıca avantajı, derleme hattında oynama yapılmadığını doğrulamak için güvenilir bir yöntem sunmasıdır.
  • Ekip, ISO’ya dahil edilen tüm paketleri, ISO’nun kendisinin derlemesini ve ISO’ya dahil olmayan ancak ISO’yu derlemek için gerekli paketleri yeniden üretti.
  • Yeniden üretim, NixOS 20.03 yüklü yeni bir VirtualBox makinesi başlatıp NixOS deposunu klonlayarak, belirli bir commit’i checkout edip ISO’yu derlemek için bir dizi komut çalıştırarak gerçekleştirildi.
  • Ekip, bu yaklaşımın 2020 OVA veya indirilen git içeriğine arka kapı yerleştirilmiş olma ihtimali gibi olası bir bootstrap sorunu barındırdığını kabul ediyor. Ancak bu test yine de ISO’nun yeniden üretilebilirliği konusunda yüksek düzeyde güven sağlıyor.
  • Ekip daha önce minimal ISO’nun %100 yeniden üretilebilir olduğunu duyurmuştu, ancak Hydra önbelleği ve ISO üretim biçimindeki sorunlar nedeniyle farklar oluşmuştu. Bu sorunlar artık çözüldü.
  • Gelecekte yapılacak çalışmalar arasında yeniden üretim sürecinde kullanılan hack’lerin kaldırılması, daha fazla paketin yeniden üretilebilirliğinin sağlanması, düzenli bağımsız yeniden derlemeler için altyapı kurulması ve derleme kanıtlarını paylaşmak ve kullanmak için araçlar oluşturulması yer alıyor.
  • Ekip, başkalarını da bu çabaya katılmaya davet ediyor ve daha fazla bilgi için GitHub proje panosu ile NixOS Reproducible Builds web sitesi bağlantılarını paylaşıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-30
Hacker News yorumu
  • Kaynaktan minimal ISO’yu yeniden oluşturmak, yeniden üretilebilir kaynaklardan sistem kurulabildiğini gösteren önemli bir başarı olarak görülüyor.
  • Guix, tek bir yeniden üretilebilir 357 baytlık ikili dosyadan tüm derleyici araç zincirini bootstrap etmeye kadar uzanan dikkate değer bir kilometre taşına ulaştı.
  • Yazılım derlemede yeniden üretilebilirliğin neden varsayılan davranış olmadığına dair bir soru var.
  • NixOS için, diğer Linux dağıtımlarında olduğu gibi bakımcıların paketleri imzalayıp gönderilen ve incelenen kod ile derlenen kodun aynı olduğunu doğrulaması öneriliyor.
  • NixOS’un yeniden üretilebilirliği konusunda bir kafa karışıklığı var; bunun sistemin temel bir işlevi olduğu düşünülmüştü.
  • OpenBSD projesi, tüm kurulumların benzersiz olması ve rastgele adres ofsetlerine sahip olması bakımından zıt bir yaklaşım olarak dikkat çekiyor.
  • Nix/NixOS/Nixpkgs’teki yeniden üretilebilirliğin yalnızca kaynak için geçerli olduğu, ikili dosyaların ise her derlemede değişebileceği açıkça belirtiliyor.
  • Guix, Archlinux ve Debian gibi diğer sistemlerin, Nix/NixOS/Nixpkgs’e kıyasla ikili yeniden üretilebilirliği daha iyi sağladığı ifade ediliyor.
  • Bu kilometre taşı etkileyici bulunuyor ve ISO’nun nasıl üretildiğine dair daha fazla bilgi isteniyor.
  • Bu gelişmenin, Ken Thompson’ın 'Reflections on Trusting Trust' yazısında ele alınan arka kapılı derleyici sorununu çözmeye yardımcı olabileceği öne sürülüyor.
  • Zaman bilgisinin sık sık ikili dosyaların içine girdiği düşünülürse, bu süreçte sistem saatinin sahte olarak ayarlanmasının gerekip gerekmediği soruluyor.
  • Bu gelişmenin, Red Hat ekosistemindeki Fedora Silverblue, Ansible ve Fedora Silverblue + Ansible ile karşılaştırılması talep ediliyor.