Mientras que Fedora 41, a finales de 2024, aspira a tener más compilaciones de paquetes reproducibles, openSUSE Factory ya ha logrado un hito importante en las compilaciones reproducibles bit a bit.
Desde el mes pasado, openSUSE Factory produce compilaciones reproducibles bit a bit sin firmas incrustadas. Los paquetes de OpenSUSE Tumbleweed para esa distribución rolling-release se están verificando para obtener compilaciones reproducibles bit a bit.
SUSE/openSUSE todavía está verificando que todos los paquetes produzcan compilaciones reproducibles, pero hasta ahora parece que el 95% o más de los paquetes funcionan.
Las compilaciones reproducibles suscitan un interés cada vez mayor en la industria por lo que respecta a la verificación de la seguridad y la calidad, y muchas distribuciones de Linux adoptan enfoques similares.
En el blog de openSUSE puede encontrar más información sobre la generación de compilaciones reproducibles de paquetes en openSUSE Factory.
Contribuir
El esfuerzo en las compilaciones reproducibles es una colaboración entre muchas distribuciones. Vea cómo contribuir a las compilaciones reproducibles en openSUSE.
Usos
Las compilaciones reproducibles tienen multitud de usos para la seguridad y la calidad. Para mejorar aún más su utilidad, las compilaciones reproducibles deben combinarse con otras técnicas como la revisión de código distribuida posterior a la fusión y los diseños basados en capacidades.
Un ejemplo reciente es que las compilaciones reproducibles permiten crear pruebas, simplemente reconstruyendo y comparando el resultado, de que una compilación de GCC cuyo código fuente se extrajo con un xz comprometido no estaba comprometida; este proceso se logró sin necesidad de realizar ingeniería inversa sobre cómo se produjo el compromiso. Del mismo modo, se informó de la utilidad de las compilaciones reproducibles durante las investigaciones sobre el compromiso de xz.
Las construcciones reproducibles permiten una colaboración que de otro modo no sería posible al respaldar argumentos de seguridad con una base más científica, que pueden verificarse de forma independiente.
Fuente: somoslibres
