Reproducible builds na 13. Sesji Linuksowej

21 marzec 2016

W pierwszy weekend kwietnia możecie spotkać mnie na 13. Sesji Linuksowej we Wrocławiu. W niedzielę opowiem o reproducible builds, inicjatywie która ma umożliwić każdemu użytkownikowi uzyskanie identycznej "reprodukcji" pakietu, który został pobrany z repozytorium.

Taki opis popełniłem na potrzeby zgłoszenia prezentacji:

Dystrybucje Linuksa pełnią rolę pośrednika pomiędzy autorami oprogramowania, a jego konsumentami, czyli zwykłymi użytkownikami. Przeciętny opiekun pakietów ufa dostarczanemu kodu źródłowemu (ale sprawdza za pomocą GPG), a przeciętny użytkownik wierzy, że właśnie instalowana paczka na jego komputerze nie wyrządzi mu krzywdy.

W tym idealistycznym opisie słowem-kluczem jest zaufanie. Dlaczego użytkownik powinien ślepo wierzyć w dobre intencje opiekunów pakietów? Dlaczego opiekunowie mają ufać maszynom, na których budują kod?

"Powtarzalne budowanie" ma umożliwić każdemu śmiałkowi zbudowanie pakietu w sposób deterministyczny, czyli tak, żeby był identyczny co do bita względem tego, który jest dostępny w repozytorium. Inicjatywa zapoczątkowana przez Projekt Tor, została szybko podchwycona przez Debiana, który zjednoczył pod swoją egidą wiele popularnych dystrybucji.

Prezentacja wyjaśni dlaczego reproducible builds to ważny projekt, nie tylko jednoczący prace dystrybucji, ale także znacznie poprawiający bezpieczeństwo końcowego użytkownika, ponadto omówi system ciągłej integracji i multum przykładów napotkanych podczas testów w Debianie i Arch Linuksie

Tak jak zwykle, niedługo po konferencji opublikuję slajdy na blogu. Do zobaczenia!

Na stronie konferencji można także obejrzeć nagrania z obu dni. Prezentację w wersji PDF można znaleźć tutaj.