LINUX.ORG.RU
ФорумTalks

Побитовая идентичность бинарников

 , ,


0

2

Как известно, в свободное ПО разработчику труднее внести вредоносный код, чем в проприетарное. Исходный код доступен широким массам, и, если он содержит вредоносные возможности (например, несанкционированно сливает персональные данные разработчику, или содержит тайм-бомбы (привет, isdenerzent)), это рано или поздно станет известно народу.

Но очень малый процент пользователей собирает ПО из исходников. Подавляющее большинство пользуется готовыми сборками от автора или мейнтейнера дистрибутива. Так вот, насколько сложно проверить, не добавил ли сборщик зловред?

Допустим, есть программма, собранная разработчиком при помощи GCC. Разработчик предоставил информацию, какой версией gcc она собрана, с какими параметрами сборки, какие версии заголовочных файлов линкуемых библиотек использовались. Есть исходный код конкретно этой сборки. Реально ли нам на другом компе собрать бинарник, который будет побитово идентичен тому бинарнику, который распространяет разработчик?

Ответ на: комментарий от simoshina

Учитывайте, еще и то, что у GUIX неплохое финансирование и сейчас он всего лишь только что преодолел версию 1.0.

simoshina ()
Ответ на: комментарий от simoshina

Смотрю у нас появился Jeditobe от гуикса - видно желание как можно больше раз упомянуть эту пакость и побольше про неё рассказать, не гнушаясь враньём. Сомнительная реклама.

могу ошибаться

Если можете ошибаться, не делайте утверждений.

но насколько я понял более воспроизводимых дистров не существует?

https://tests.reproducible-builds.org/debian/stretch//index_suite_amd64_stats.html

В Debian, хотя он и не полностью воспроизводим, 23k (93%) воспроизводимых пакетов, это более чем в два раза больше чем во всём гуиксе.

Построение GCC без GCC

А, понял. Упражнение интересное, но не несущее практической пользы.

Это дистрибутив очень необычный и уникальный

Очень уникальное и необычное никому не нужно кроме его разработчиков, и то пока им не надоест. Так что, повторюсь, не стоит траты времени и внимания.

Даже для популярных дистрах типа Debian и Centos мало кто создает свои пакеты

Што?

slovazap ★★★★★ ()
Ответ на: комментарий от slovazap

В Debian, хотя он и не полностью воспроизводим, 23k (93%) воспроизводимых пакетов, это более чем в два раза больше чем во всём гуиксе.

Какой смысл сравнивать количество воспроизводимых пакетов, если во всем дистре их значительно меньше.

Имеет смысл сравнить процент воспроизводимых пакетов.

simoshina ()
Ответ на: комментарий от simoshina

Вообще-то я пользователь Debian, нынче Devuan уже больше 10 лет.

simoshina ()
Ответ на: комментарий от slovazap

Што?

Ну и какой процент пользователей свои пакеты создает?

simoshina ()
Ответ на: комментарий от slovazap

Смотрю у нас появился Jeditobe от гуикса - видно желание как можно больше раз упомянуть эту пакость

Чем конкретно пакость?

не гнушаясь враньём. Сомнительная реклама.

Разве враньем считается ошибка, а не преднамерянный обман? Тогда кто из нас врет, пытаясь представить мою ошибку (если она есть) в виде вранья?

simoshina ()
Ответ на: комментарий от slovazap

Если можете ошибаться, не делайте утверждений.

Утверждения свои делал на базе прочитанного:

https://habr.com/en/post/436938/

Там описывается как уникальный воспроизводимый дистр. Про невоспроизводимые пакеты ничего не сказано. Если постараться один воспроизводимый пакет можно сделать в любом дистре, даже в Шиндоуз. Только станет ли такой дистр воспроизводимым в целом?

simoshina ()
Ответ на: комментарий от slovazap

Из чатега #guix:

Going for 100% source(-equivalent) bootstrapping, as Guix does, is IMO far more important than the overhyped ‘let's get together & compare our bits’ approach. Those bits after the fact don't mean much. Which isn't to disparage the Debian reproducibility folks' work, bit-reproducibility is good, but it's not currently resting on any foundation.

simoshina ()
Ответ на: комментарий от slovazap

А, понял. Упражнение интересное, но не несущее практической пользы.

MES - достижение, не несущее практической пользы внедренцам закладок?

Да что уж там, будет откровеннее, несущее им большой практический вред :)))

А Debian теперь позволяет убедиться в наличии закладок даже побитно? какое достижение, ахаха

simoshina ()
Ответ на: комментарий от simoshina

Какой смысл сравнивать количество воспроизводимых пакетов, если во всем дистре их значительно меньше

Никакого, о чём я и говорю. Нет смысла заикаться о гуиксе, пока он не догонит полноценные дистрибутивы по количеству пакетов.

Имеет смысл сравнить процент воспроизводимых пакетов.

Нет, не имеет. Как предельный случай - «дистр» с одним воспроизводимым пакетом по процентам сделает любой полноценный дистрибутив. При этом никакой работы в нём не сделано, и на практике он бесполезен.

Сами же об этом пишете:

Если постараться один воспроизводимый пакет можно сделать в любом дистре, даже в Шиндоуз. Только станет ли такой дистр воспроизводимым в целом?

Правильно, вообще, брать множество всех пакетов (из всех дистрибутивов), взвешивать их по популярности и нормировать число повторяемых пакетов на него. Так вес не будет иметь ни репозиторий с одним пакетом, ни репозиторий, который тупо импортировал себе весь PyPI (получив, таким образом, десятки тысяч никому не нужных повторяемых пакетов нахаляву; примерно так, к слову, делает nix) и наоборот, другой такой репозиторий не будет снижать рейтинг.

Популярность, вообще, можно прикинуть по количеству репозиториев в которых есть пакет, это можно взять с Repology. А у GUIX есть ли вообще статистика по воспроизводимости? И из Repology его похоже выкинули, видимо не просто так.

Я почему-то думал, что в GUIX все пакеты воспроизводимы, но мне тут в чате сообщили, что это не так.

ЧТД. Так что никаких магических преимуществ у него и нет.

Разве враньем считается ошибка, а не преднамерянный обман?

Выдача домысла и мнения за факт - это однозначный преднамеренный обман.

Ну и какой процент пользователей свои пакеты создает?

Каких пользователей, пользователей чего, каких пакетов, как это относится к обсуждению?

is IMO far more important than the overhyped

Спасибо хоть что IMO. А за overhyped сразу в сад. Вообще-то бутстраппинг и воспроизводимость имеют совершенно разные цели, так что о каком-то more important может говорить лишь дилетант.

bit-reproducibility is good, but it’s not currently resting on any foundation

Это работает и в обратную сторону - если мы говорим о закладках, без reproducibility бутстраппинг не имеет смысла вообще, потому что закладку можно внедрить на любом этапе (а оных там ещё и намного больше) - и руками при сборке, и из ядра, и из железа, и всё это пройдёт незамеченным. Не спорю что бутстрапнутый тулчейн обязателен для гарантии отсутствия теоретических закладок внедрённых заражённым тулчейном, который умеет внедрять закладку при сборке самого себя, но:

  • на практике куда вероятнее закладка внедрённая одним из сотни других, более простых, дешёвых и надёжных способов
  • для этого совершенно не обязательно городить маргинальный менеджер пакетов и дистрибутив
  • после однократной сборки тулчейна бутстрапнутым компилятором, в воспроизводимой экосистеме он будет чистым отныне и навсегда и все подпорки для бутстраппинга можно сдавать а архив
  • хотя необходимым он и является, но не является достаточным, потому что железо и ядро как-бы тоже нужно бутстраппить. Что там в guix на тему бутстраппинга ядра и железа?

А foundation’ом является уже хотя бы тот факт что guix’овцы пока никакой закладки со своим бутстрапом не нашли.

MES - достижение, не несущее практической пользы внедренцам закладок?

Да что уж там, будет откровеннее, несущее им большой практический вред :)))

А Debian теперь позволяет убедиться в наличии закладок даже побитно? какое достижение, ахаха

Вы начали паясничать, поэтому дальше общаться не вижу смысла.

slovazap ★★★★★ ()
Ответ на: комментарий от slovazap

Никакого, о чём я и говорю. Нет смысла заикаться о гуиксе, пока он не догонит полноценные дистрибутивы по количеству пакетов.

Если в GUIX достаточно пакетов, чтобы обеспечить работу некоторых моих серверов, то мне этого уже достаточно на данный момент. Кроме того GUIX привносит массу других инноваций.

Вы пытаетесь здесь навязать свое мнение другим, например, мне, что якобы GUIX мне ненужен, но мое мнение пока неизменно по данному вопросу, - нужен.

Очень кстати было бы вам обратить внимание на ваше собственное утверждение:

Выдача домысла и мнения за факт - это однозначный преднамеренный обман.

То, что GUIX недостаточен своим количеством пакетов для меня на некоторых моих серверах - это ваш домысл.

simoshina ()
Ответ на: комментарий от slovazap

Так что никаких магических преимуществ у него и нет.

У GUIX есть еще масса необычных возможностей, именно из-за которых в первую очередь я и изучаю данный дистрибутив.

Например, воспроизводимость конфига. Ansible чем-то лучше?

simoshina ()
Ответ на: комментарий от slovazap

Выдача домысла и мнения за факт - это однозначный преднамеренный обман.

Можете рассматривать все мои сообщения на данном форуме как вопросы. Если сможете в дисскуссии обратить их смысл в свою пользу, я буду только рад, что кому-то удалось обратить мои мнения в более правильное русло, но пока увы, мало кому удавалось.

Если только в случае явных моих ошибок по незнанию, а не специальных преднамеренных. Такие ошибки я стараюсь сразу же признавать, чтобы как можно скорее перейти к правильному пониманию действительности с точки зрения объективной правды, тщательно проанализировав мнения всех сторон спора и желательно независимых (ну или пусть обычно зависимых, но с полярными мнениями) экспертов, а не чьих-то критериев навязанной правильности.

simoshina ()
Ответ на: комментарий от simoshina

потому что железо и ядро как-бы тоже нужно бутстраппить. Что там в guix на тему бутстраппинга ядра и железа?

Можно, пожалуйста, поподробнее об этом?

Наверно, нужно поспрашивать в #bootstrappable .

simoshina ()
Ответ на: комментарий от simoshina

GUIX на данный момент уникален

GUIX на данный момент - ещё менее популярный клон никса от фанатиков, маргинальщина третьего порядка.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

GUIX на данный момент - ещё менее популярный клон никса от фанатиков, маргинальщина третьего порядка.

Ну так open source и Linux тоже был когда-то маргинальщиной.

Отрицание нужности systemD на моем компе - маргинальщина, попытки избавления от закладок в т.ч. аппаратных - маргинальщина, FSF - маргинальщина, Libre kernel - маргинальщина, Столман - маргинальщина.

А вот зонд Шиндоуз - это хорошо, или хотя бы systemD. Желательно еще кредит под 100% годовых на топовый Intel последней модели.

simoshina ()
Ответ на: комментарий от simoshina

Отрицание нужности systemD на моем компе - маргинальщина, попытки избавления от закладок в т.ч. аппаратных - маргинальщина, FSF - маргинальщина, Libre kernel - маргинальщина, Столман - маргинальщина.

Фанатик начинает что-то подозревать.

t184256 ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)