Builds reproducibles de NixOS: ISO mínima reconstruida con éxito de forma independiente

 (discourse.nixos.org)
1 puntos por GN⁺ 2023-10-30 | 1 comentarios | Compartir por WhatsApp
  • El equipo de NixOS completó con éxito una reconstrucción independiente e idéntica a nivel de bits de la ISO nixos-minimal publicada por Hydra.
  • El principal beneficio de Reproducible Builds es que proporciona una forma confiable de verificar que no hubo manipulación en el pipeline de compilación.
  • El equipo reprodujo todos los paquetes incluidos en la ISO, la compilación de la propia ISO y también los paquetes necesarios para compilar la ISO que no están incluidos dentro de ella.
  • La reproducción se logró iniciando una nueva máquina VirtualBox con NixOS 20.03, clonando el repositorio de NixOS, verificando un commit específico y ejecutando una serie de comandos para compilar la ISO.
  • El equipo reconoce que este enfoque tiene un posible problema de bootstrap, incluyendo la posibilidad de que la OVA de 2020 o el git descargado contengan una puerta trasera. Sin embargo, esta prueba aún ofrece un alto nivel de confianza en la reproducibilidad de la ISO.
  • El equipo ya había anunciado antes que la ISO mínima era 100% reproducible, pero hubo diferencias debido a problemas con la caché de Hydra y con la forma en que se generaba la ISO. Ahora esos problemas ya se resolvieron.
  • El trabajo futuro incluye eliminar hacks usados durante el proceso de reproducción, asegurar la reproducibilidad de más paquetes, construir infraestructura para reconstrucciones independientes regulares y crear herramientas para compartir y usar pruebas de compilación.
  • El equipo invita a otras personas a sumarse a este esfuerzo y comparte enlaces al tablero de proyecto en GitHub y al sitio web de NixOS Reproducible Builds para más información.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-30
Comentarios de Hacker News
  • Reconstruir la ISO mínima desde el código fuente se considera un logro importante para poder construir un sistema a partir de fuentes reproducibles.
  • Guix alcanzó un hito notable al arrancar toda la cadena de herramientas del compilador desde un único binario reproducible de 357 bytes.
  • Se plantea la pregunta de por qué la reproducibilidad no es el comportamiento predeterminado en la compilación de software.
  • Se sugirió que NixOS, como otras distribuciones de Linux, haga que los mantenedores firmen los paquetes para verificar que el código enviado y revisado sea el mismo que se compila.
  • Hay confusión sobre la reproducibilidad de NixOS, ya que se pensaba que era una función central del sistema.
  • El proyecto OpenBSD destaca por un enfoque opuesto, en el que cada instalación es única y tiene desplazamientos de direcciones aleatorios.
  • Se aclaró que la reproducibilidad de Nix/NixOS/Nixpkgs se refiere solo al código fuente, y que los binarios pueden cambiar entre compilaciones.
  • Se mencionó que otros sistemas como Guix, Arch Linux y Debian manejan mejor la reproducibilidad binaria que Nix/NixOS/Nixpkgs.
  • Este hito fue elogiado como impresionante, y se pidió más información sobre cómo se generó la ISO.
  • Se sugirió que este desarrollo podría ayudar a resolver el problema del compilador con puerta trasera discutido en "Reflections on Trusting Trust" de Ken Thompson.
  • Dado que el tiempo a menudo termina dentro de los binarios, se preguntó si en este proceso es necesario falsear la hora del sistema.
  • Se pidió una comparación entre este desarrollo y Fedora Silverblue, Ansible, y Fedora Silverblue + Ansible dentro del ecosistema de Red Hat.