Aseguran la reproducibilidad de las imágenes live de Debian Bookworm

 (lwn.net)
1 puntos por GN⁺ 2025-03-27 | 1 comentarios | Compartir por WhatsApp

  • Imágenes live de Debian bookworm completamente reproducibles

    • El desarrollador de Debian Roland Clobus anunció en un breve aviso en la lista de correo de Reproducible Builds que las imágenes live de Debian 12.10 ("bookworm") ahora son 100% reproducibles
    • La información sobre las imágenes live reproducibles y Debian Live está disponible en la wiki de Debian

  • Información de copyright

    • © 2025, copyright propiedad de Eklektix, Inc.
    • Los comentarios y las publicaciones públicas tienen copyright de sus autores
    • Linux es una marca registrada de Linus Torvalds

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-03-27
Comentarios en Hacker News
  • Es un esfuerzo enorme. Hace apenas unos años, esto habría parecido un sueño. Felicitaciones a todas las personas involucradas, especialmente a quienes lideraron este esfuerzo
  • No entiendo cómo se logra la reproducibilidad de las compilaciones: ¿qué pasa con los metadatos de los archivos, por ejemplo las marcas de tiempo de creación/modificación? ¿Se falsifican? ¿O se considera que esos datos no importan (es decir, que cuando dos archivos con metadatos distintos tienen el mismo contenido, deberían tener la misma suma de verificación al hashearse)?
  • ¿La infraestructura de compilación de Debian también es reproducible? Si alguien quisiera inyectar código malicioso en los binarios de paquetes de Debian (sin inyectarlo en el código fuente), parecería que tendría que apuntar a la infraestructura de compilación (el compilador, el enlazador y el código wrapper escrito alrededor de ellos)
    • Además, ¿hay alguien más compilando estas imágenes, y existe evidencia de que los servidores de compilación de Debian no han sido comprometidos?
  • ¿Cuál es la importancia de las compilaciones reproducibles y en qué se diferencian de una distribución normal?
  • Es una noticia increíble. Bien hecho
  • Este es un gran hito
  • Soy principiante en este tema. ¿De qué maneras una compilación puede no ser reproducible? Es decir, ¿qué partes del proceso de compilación pueden devolver una salida no determinista? ¿La gente está metiendo cosas como marcas de tiempo dentro de las compilaciones?
  • Bien, estas imágenes live podrían convertirse en la base de un flujo de trabajo de "OS inmutable" basado en Debian
  • ¿Estas imágenes live vienen preparadas para cloud-init? Un ISO live con cloud-init en memoria parece perfecto para infraestructura inmutable en cualquier lugar