NixOSの再現可能ビルド: 独立して成功裏に再構築された最小ISO

 (discourse.nixos.org)
1 ポイント 投稿者 GN⁺ 2023-10-30 | 1件のコメント | WhatsAppで共有
  • NixOSチームは、Hydraで公開された nixos-minimal ISO の独立したビット単位で同一の再構築を成功裏に完了しました。
  • Reproducible Builds の主な利点は、ビルドパイプライン内で改ざんされていないことを検証するための信頼できる方法を提供する点です。
  • チームは、ISO に含まれるすべてのパッケージ、ISO 自体のビルド、そして ISO には含まれていないものの ISO のビルドに必要なパッケージを再現しました。
  • 再現は、NixOS 20.03 を搭載した新しい VirtualBox マシンを起動し、NixOS リポジトリを複製し、特定のコミットをチェックアウトし、ISO をビルドする一連のコマンドを実行することで達成されました。
  • チームは、このアプローチには潜在的なブートストラップ問題があることを認めており、これには 2020 OVA やダウンロードした git にバックドアがある可能性も含まれます。しかし、このテストは依然として ISO の再現可能性に対する高い確信を与えます。
  • チームは以前、minimal ISO は 100% 再現可能であると発表していましたが、Hydra キャッシュと ISO 生成方法に問題があり、差異が生じていました。これらの問題は現在解決されています。
  • 今後の作業には、再現プロセスで使われたハックの除去、より多くのパッケージの再現可能性の確保、定期的な独立再構築のためのインフラ整備、ビルド証明を共有・利用するためのツール作成が含まれます。
  • チームは他の人々にもこの取り組みへの参加を呼びかけており、GitHub のプロジェクトボードと NixOS Reproducible Builds の Web サイトへのリンクを通じて、さらなる情報を提供しています。

関連記事

1件のコメント

 
GN⁺ 2023-10-30
Hacker Newsの意見
  • ソースから最小ISOを再構築することは、再現可能なソースからシステムを構築できる重要な成果と見なされている。
  • Guixは、単一の再現可能な357バイトのバイナリから完全なコンパイラ・ツールチェーンをブートストラップするという注目すべきマイルストーンを達成した。
  • ソフトウェアのコンパイルにおいて、なぜ再現性がデフォルトの動作ではないのかという疑問がある。
  • NixOSについて、他のLinuxディストリビューションのようにメンテナーがパッケージに署名し、提出・レビューされたコードと実際にビルドされるコードが同一であることを確認できるようにすべきだという提案が示された。
  • NixOSの再現性について混乱があり、これはシステムの中核機能だと考えられていた。
  • OpenBSDプロジェクトは、すべてのインストールが固有でランダムなアドレスオフセットを持つという対照的なアプローチで注目されている。
  • Nix/NixOS/Nixpkgsの再現性はソースに対してのみであり、バイナリはビルドごとに変化し得ることが明確に説明された。
  • Guix、Archlinux、Debianのような他のシステムは、Nix/NixOS/Nixpkgsよりもバイナリの再現性をうまく実現していると言及された。
  • このマイルストーンは印象的だと称賛されており、ISOがどのように生成されたのかについて追加情報を求める声がある。
  • この開発が、Ken Thompsonの『Reflections on Trusting Trust』で論じられたバックドア・コンパイラ問題の解決に役立つ可能性があるという提案がある。
  • 時刻がしばしばバイナリ内部に入るため、このプロセスでシステム時刻を偽装する必要があるのかという質問がある。
  • この開発と、Red Hatエコシステム内のFedora Silverblue、Ansible、そしてFedora Silverblue + Ansibleとの比較が求められている。