Alionet - Communauté openSUSE francophone

Débats et nouvelles => Nouvelles du projet openSUSE => Discussion initiée par: chalu le 18 Avril, 2024, 21:12:04

Titre: News : builds reproductibles bit par bit avec openSUSE Factory
Publié par: chalu le 18 Avril, 2024, 21:12:04
Une évolution dans la construction des paquets pour une plus grande sécurité
source : https://news.opensuse.org/2024/04/18/factory-bit-reproducible-builds/
Traduction FR automatique :

builds reproductibles bit par bit avec openSUSE Factory
18. avril 2024 | Jan Zerebecki | CC-BY-SA-4.0
(https://news.opensuse.org/wp-content/uploads/2021/04/gtw.png)
En mars, la configuration pour la construction d'openSUSE Factory (https://en.opensuse.org/Portal:Factory) a été modifiée pour être reproductible bit par bit (à l'exception de la signature intégrée). Suite à cela, les premiers packages openSUSE Tumbleweed ont été vérifiés comme étant reproductibles bit par bit (https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/NAST5PZPQGJ5JTHYAM6CWB7PCNCLLK6P/) .
Merci à tous ceux qui ont contribué à ce que cela se réalise. Il s’agissait d’une amélioration importante.
Il faudra un certain temps pour effectuer cette vérification pour tous les packages afin de voir combien de nos packages sont reproductibles à ce niveau de détail. Les vérifications précédentes, tout en ignorant certaines différences corrigées, ont réussi pour plus de 95 % des packages.
Contribuer
L'effort sur les builds reproductibles est une collaboration entre de nombreuses distributions (https://reproducible-builds.org/contribute/) . Découvrez comment contribuer à des builds reproductibles dans openSUSE (https://en.opensuse.org/openSUSE:Reproducible_Builds) .
Les usages
Les builds reproductibles ont une multitude d'utilisations en matière de sécurité et de qualité (https://reproducible-builds.org/docs/buy-in/) . Pour améliorer encore leur utilité, les versions reproductibles doivent être combinées avec d'autres techniques telles que la révision distribuée du code après fusion et les conceptions basées sur les capacités (https://gitlab.com/affording-open/distribution) .
Un exemple récent est que les builds reproductibles permettent de créer une preuve, simplement en reconstruisant et en comparant le résultat, qu'une build GCC dont la source a été extraite avec un xz compromis n'a pas été compromise ; ce processus a été réalisé sans qu’il soit nécessaire de procéder à une ingénierie inverse de la manière dont le compromis s’est produit. De même, des versions reproductibles ont été signalées comme étant utiles lors des enquêtes sur le compromis xz (https://lwn.net/ml/oss-security/CAN_LGv3B4_K16osLRiinny7SbOsxvvtJHbU3Fgbu4ytnEPgoww@mail.gmail.com/) .
Les versions reproductibles permettent une collaboration qui ne serait pas possible autrement en soutenant des arguments de sécurité plus scientifiquement fondés, qui peuvent être vérifiés de manière indépendante.
Titre: Re : News : builds reproductibles bit par bit avec openSUSE Factory
Publié par: Chumi le 19 Avril, 2024, 10:43:56
Bonjour,

Tout ça me dépasse mais, rapport au dernier incident majeur, la réactivité est notable et les moyens mis en œuvre me paraissent considérables. Chapeau!