NixOS Build tái lập được: ISO tối thiểu được tái dựng độc lập thành công

 (discourse.nixos.org)
1 điểm bởi GN⁺ 2023-10-30 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nhóm NixOS đã hoàn tất thành công việc tái dựng độc lập và giống hệt từng bit của ISO nixos-minimal do Hydra phát hành.
  • Lợi ích chính của Reproducible Builds là cung cấp một phương pháp đáng tin cậy để xác minh rằng quy trình build không bị can thiệp hay thao túng.
  • Nhóm đã tái lập mọi gói có trong ISO, bản build của chính ISO, cùng các gói cần thiết để build ISO nhưng không nằm trong ISO.
  • Việc tái lập được thực hiện bằng cách khởi chạy một máy VirtualBox mới với NixOS 20.03, sao chép kho lưu trữ NixOS, checkout commit cụ thể, và chạy một loạt lệnh để build ISO.
  • Nhóm thừa nhận cách tiếp cận này có vấn đề bootstrap tiềm ẩn, bao gồm khả năng bản ova năm 2020 hoặc git được tải xuống có thể đã bị cài backdoor. Tuy vậy, bài kiểm tra này vẫn mang lại mức độ tin cậy cao về khả năng tái lập của ISO.
  • Trước đây, nhóm từng thông báo rằng ISO tối thiểu có thể tái lập 100%, nhưng đã xuất hiện khác biệt do các vấn đề với bộ nhớ đệm Hydra và cách tạo ISO. Những vấn đề này nay đã được khắc phục.
  • Công việc tiếp theo bao gồm loại bỏ các hack được dùng trong quá trình tái lập, đảm bảo tính tái lập cho nhiều gói hơn, xây dựng hạ tầng cho các lần tái dựng độc lập định kỳ, và tạo công cụ để chia sẻ cũng như sử dụng bằng chứng build.
  • Nhóm mời gọi những người khác tham gia nỗ lực này, đồng thời cung cấp liên kết tới bảng dự án GitHub và trang web NixOS Reproducible Builds để biết thêm thông tin.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-30
Ý kiến Hacker News
  • Việc tái dựng bản ISO tối thiểu từ mã nguồn được xem là một thành tựu quan trọng để có thể xây dựng hệ thống từ nguồn có thể tái lập.
  • Guix đã đạt được một cột mốc đáng chú ý khi bootstrap toàn bộ bộ công cụ trình biên dịch từ một tệp nhị phân 357 byte duy nhất có thể tái lập.
  • Có câu hỏi vì sao tính tái lập trong biên dịch phần mềm lại không phải là hành vi mặc định.
  • Có đề xuất rằng NixOS nên để nhà bảo trì ký các gói như các bản phân phối Linux khác, nhằm xác nhận mã được gửi lên và xem xét là giống với mã thực sự được đem đi build.
  • Có sự nhầm lẫn về tính tái lập của NixOS, vì điều này được cho là một chức năng cốt lõi của hệ thống.
  • Dự án OpenBSD được nhắc tới như một cách tiếp cận đối lập, ở chỗ mọi bản cài đặt đều là duy nhất và có các offset địa chỉ ngẫu nhiên.
  • Đã có giải thích rõ rằng tính tái lập của Nix/NixOS/Nixpkgs chỉ áp dụng cho mã nguồn, còn tệp nhị phân có thể thay đổi theo mỗi lần build.
  • Có ý kiến cho rằng các hệ thống khác như Guix, Archlinux và Debian đang làm tốt hơn Nix/NixOS/Nixpkgs về khả năng tái lập ở mức nhị phân.
  • Cột mốc này được khen là ấn tượng, đồng thời có yêu cầu thêm thông tin về cách bản ISO đã được tạo ra.
  • Có đề xuất rằng bước phát triển này có thể giúp giải quyết vấn đề trình biên dịch cài cửa hậu được bàn trong "Reflections on Trusting Trust" của Ken Thompson.
  • Vì thời gian thường được ghi vào bên trong tệp nhị phân, có câu hỏi liệu trong quy trình này có cần giả mạo thời gian hệ thống hay không.
  • Có yêu cầu so sánh bước phát triển này với Fedora Silverblue, Ansible, và Fedora Silverblue + Ansible trong hệ sinh thái Red Hat.