Одному мне кажется, что это ерунда какая-то, а не идея. В коде могут быть закладки или явно оставленные уязвимости, что нам побайтовая сборка даст? Код все равно никто не читает.

Побайтовая проверка образа — это вообще какая-то особая форма наркомании

sudo apt install \
    git \
    rake \
    libvirt-daemon-system \
    dnsmasq-base \
    ebtables \
    qemu-system-x86 \
    qemu-utils \
    vagrant \
    vagrant-libvirt \
    vmdebootstrap && \
sudo systemctl restart libvirtd

Сильно. Боюсь даже подумать, что можно спрятать в системе сборки, которая всё это будет использовать ...

А потом мы выясним, что сравнивали неправильным diff-ом :-)

Ущипните меня. Я вижу хорошую новость на ЛОРе!

Одному мне кажется, что это ерунда какая-то, а не идея. В коде могут быть закладки или явно оставленные уязвимости, что нам побайтовая сборка даст? Код все равно никто не читает.

Даст тем, кто читает :) Что код, который они прочитали, таки действительно собирается в тот бинарник, который они используют.

В суровом ынтырпрайзе (на самом деле, в {около-,}оборонке) это очень важная штука.

Код все равно никто не читает.

по себе людей не судят

Новость просто огонь - давно ждал. thx!

Одному мне кажется, что это ерунда какая-то, а не идея.

Думаю, что не одному. Когда лет шесть назад это все начиналось, скептиков среди обывателей было довольно много. Сейчас часть из них, конечно, переменила свое мнение, но кто-то-то должен быть остаться.

В коде могут быть закладки или явно оставленные уязвимости

Так.

что нам побайтов[о воспроизводимая] сборка даст?

По-моему, вполне ясно написано: «бинарные образы действительно являются продуктом сборки исходных текстов соответствующей версии, а не отличающейся версии», сформулировать лучше не возьмусь.

А потом мы выясним, что сравнивали неправильным diff-ом :-)

Зачем при сборке diff?

Это разве не в дебиане этим занимаются? или Tails это такой debian и есть? «It is Free Software and based on Debian GNU/Linux»... Ну я так и думал...

Козлы сраные.

Команда дебиана сколько лет на это положила, сколько бабла потрачена, а тут анархо-анонимусы пиарятся... Фу, гадость, противно.

AEP, а ты особенно хорош... Что, слабо написать было откуда появилась эта возможность?

А, Shaman007 подтверждал...

Шом, помнишь ты себе спелчекер ставил проприетарный? Пора переходить на новый уровень и перед аппрувом давать новости компитентным редакторам. Чёт ты лютую дичь стал подтверждать.

Или мы хотим превратиться в гиктаймс с ализаровщиной? maxcom, обрати внимание, пожалуйста.

Именно, в Дебиане. А эти клоуны лишь примазались и пиарятся.

Тебе одному, да.

Фигобраза. Любого пакета, в идеале. А это дорогого стоит.

Это проект Дебиана. А эти долбодятлы её только щас взяли (после много лет работы) и просто пиарят свою васян-сборку. Уроды. Я был лучшего о них мнения.

Да, и это относитсямко всему репозиторию. Твой коммент не уместен от слова вообще. Или ты просто не в теме.

Балбес. Есть сырцы, есть бинарник — идея что с этих сырцов всегда будет собираться одинаковый бинарник, до последнего бита! Сырцы поменял — поменялся бинарник. Но пара сырцы-бинарник не меняется!

Да. Только печально что она не про успехи сообщества дебиана, а про гнилую пиар-кампанию от левых васянов.

Но разве ли не суть СПО в том, что кто хочет - тот и пиарится? Свобода и всё такое... что в этом плохого?

Не, ты не прав. Это означает то, что собрали разрабы и я могу собрать. Бит в бит. Доверять разрабам мне все равно только лишь остается.

Ну и дурак. Я это знал еще полгода назад. А сегодня макаки из тайлса осилили (осилили ли? а то мож тока ляля) и сразу пиариться у школоты.

Чего? У тебя есть сырцы. И образ разрабов. И собранный тобой образ. И если твой и их образы совпали, собирали из тех же сырцов.

Ну значит я не понял твой посыд сразу, Мы говорим об одном и том же. Извиняй.

Читать сисходный код? Целого дистра? Это бред бредейший. У дистрибутива сотни и тысячи мейнтенеров — тут стоит вопрос валидации. Вопрос доверия не обсуждается.

Это разве не в дебиане этим занимаются?

Этим все занимаются. Но наиболее плотно, да, пожалуй, Дебиан.

или Tails это такой debian и есть?

Да.

Даст тем, кто читает :) Что код, который они прочитали, таки действительно собирается в тот бинарник, который они используют.

если для проверки мне нужно все самому собрать, нахрена мне что-то тогда сверять? я уже имею все 100% собранное из исходников и мне на...й не уперлись их бинарники.

Так ли важно кто сделает это первым? Для дебиана теоретически хорошо бы иметь повторяемость сборки, а для уверенности в приватности тэйлз повторяемость строго необходима.

Зачем это нужно?

Единственный профит, который я вижу, это заменить "я доверяю авторам сборки, что их бинарь не поддельный" на типа более надёжное "я доверяю авторам сборки, что их бинарь не поддельный и ещё вон тем чувакам (каким??), которые утверждают, что побайтово воспроизвели сборку". Но это как-то слабенько.

А тем, кто решат собрать образ сами, какое должно дело до того, совпадают ли их бинарь с чьим-то другим? Нонсенс.

В чём смысл сверять собранный тобой образ с образом разрабов? Какое лично тебе дело, что там у них лежит на сайте, коль скоро у тебя есть свой образ?

Ситуация аналогична открытым исходникам.

Если прочитав кусок, который тебе интересен (что-то надо узнать или поправить), не увидел признаков трояна и весь код открыт, то есть веские основания предполагать, что во всём коде нет троянов.

Если собрав какой-то случайный пакет, увидел, что он побайтово совпадает, то есть веские основания предполагать, что все пакеты совпадают. Или, проверив определённую версию дистрибутива и убедившись, что все пакеты бинарно совпадают с перекомпилированными, есть веская причина предполагать, что следующие версии тоже будут бинарно совпадать.

Фактически, это публичное заявление в стиле «Мы не внедряем трояны при компиляции. Не обязательно верить на слово. Любой может проверить и убедиться.»

Это действительно важно? Пошел читать что такое Tails...

OpenBSD элементарно собирается из исходников. Это освоит любая домохозяйка - даже такая, как я.

Особенно до предыдущей версии. Вот, только что пересобрал 5.7 на Celeron 700, не так уж и долго.

Прочитал! Но ведь через это нельзя зайти на ЛОР!

в любой сборке могут быть закладки и уязвимости. Никто же из них не заморачивается с сертификацией по стандартам безопасности

Если ты не разбираешься в коде и программировании, это не значит, что ВСЕ такие. Грести всех под одну гребёнку - не объективный метод познания мира. Попахивает зашоренным субъективизмом.

Вообще идея настолько очевидная, что не понятно, почему это всё не делалось испокон веков по умолчанию во всех утилитах для сборки.

В чём смысл сверять собранный тобой образ с образом разрабов? Какое лично тебе дело, что там у них лежит на сайте, коль скоро у тебя есть свой образ?

Смысл TOR в том, что большинство узлов добропорядочные и не логгируют трафик. В TOR-маршруте всего 3 узла и если все 3 будут логгировать трафик, то твоя анонимность накрылась медным тазом. Поэтому важно, чтобы не только в твоём образе не было уязвимостей, но и в чужих образах их не было.

К слову, побайтовая проверка образа - одно из требований для сертификации софта по ФСТЭК. Что как бы намекает нам...

AFAIK, умышленная рандомизация кое-где используется как одна из методик борьбы с эксплойтами

Т.е. всякие Альты и Росы с Астрами тоже так делают?

Сомневаюсь я. Вообще данная фича жутко муторная и дорогая. Но на проде очень нужная.

просто поскольку никто «посторонний» на момент публикации первоисточника не пытался собрать Tails у себя и сравнить полученный образ с официальным

Я даже не знаю о чем шутить, о том, что не нужно или что такие хреновые параноики пошли? )

Идея доказательства — воспроизводимость сборки

Собственно, разработчики tails нам сказали - мы вам предоставили экспресс-метод подтверждения что нашей бинарной системе можно доверять, один раз проверив сборкой. А вот выяснение - есть ли там закладки, выполняется изучением исходного кода и никаким другим способом невозможно. Работайте, братья - изучайте сорцы.

В чём смысл сверять собранный тобой образ с образом разрабов? Какое лично тебе дело, что там у них лежит на сайте, коль скоро у тебя есть свой образ?

Тебе — никакого. Тем, кто занимается аудитом, это даст подтверждение того, что чуваки не пездят и собирают из тех же исходников, из каких публикуют.

Умышленная рандомизация должна проводиться как часть процесса установки на конкретный компьютер. Иначе это фарс.

Hint: чемодан бабла сменил руки. Угадай какие.

GuixSD

Кто сказал GuixSD?

Не помню, может это про jit было или типа того, но с другой стороны, если эксплойт протестированный на одной версии ПО (например в редхатовском дистре) не подойдет к такому же ПО из другого дистра - тоже не плохо. Ну и каждый минорный апдейт опять же будет ломать эксплойт.