Проект Debian переводит безопасность своей экосистемы на новый уровень. Команда, занимающаяся разработкой будущего выпуска Debian 14 «Forky», объявила, что все пакеты для этого релиза в обязательном порядке должны собираться воспроизводимо. Это решение, вступающее в силу немедленно, делает Debian первым крупным Linux-дистрибутивом, внедрившим столь жёсткое требование на уровне миграции пакетов. Telegram-канал создателя Трешбокса про технологии
С начала мая 2026 года автоматизированное ПО, применяемое для переноса пакетов из ветки unstable в testing, блокирует любые из тех, что не проходят проверку на воспроизводимость. Аналогичные санкции применяются и к существующим пакетам в testing, если в них обнаруживается нарушение побитовой идентичности при повторной сборке. Как подчеркнул в рассылке Пол Геверс: «при поддержке проекта Reproducible Builds мы решили, что настало время обязать Debian поставлять только воспроизводимые пакеты».
Техническая суть требования в том, что компиляция одного и того же исходного кода в строго идентичном окружении всегда должна выдавать бинарный файл, совпадающий с эталонным вплоть до бита. Это исключает возможность скрытых модификаций на этапе сборки и делает цепочку поставок программного обеспечения прозрачной для независимого аудита. Поводом для ужесточения политики послужил в том числе громкий инцидент с бэкдором в xz-utils, выявивший уязвимости традиционной модели доверия к сборочной инфраструктуре.
Статистика подтверждает, что экосистема Debian практически готова к новым правилам. В стабильном Debian 13 «Trixie» уровень воспроизводимости исходных пакетов достигает 96.9% для архитектуры x86_64 и 96.8% для ARM64. В репозитории testing для будущего «Forky» этот показатель на ARM64 ещё выше — 94.5%, хотя для x86_64 он пока составляет 75.7% из-за большего объёма пересобираемых пакетов. Непрошедшими проверку числятся лишь около 3% пакетов.
Ожидается, что Debian 14, запланированный к релизу в середине 2027 года, станет первым стабильным выпуском под новым мандатом. Новые правила не только повысят доверие к дистрибутиву, но и зададут стандарт для всей индустрии свободного ПО. Параллельно дистрибутив продолжает расширять архитектурную поддержку, официально включив сборки для LoongArch64.
Источник: trashbox.ru