https://www.opennet.ru/openforum/vsluhforumID3/91786.html В ответ на критику (http://www.opennet.ru/opennews/art.shtml?num=37246) о проблематичности формирования rpm-пакетов из исходных текстов, полностью аналогичных пакетам, поставляемым в дистрибутиве, из-за большого влияния условий сборки на итоговый бинарный файл, разработчики из компании Red Hat подготовили (http://securityblog.redhat.com/2013/09/18/reproducible-builds-for-fedora/) инструкцию и набор скриптов (https://github.com/kholia/ReproducibleBuilds) для обеспечения повторяемых сборок. Указанная инструментарий позволяет на основе любого src.rpm-пакета с исходным кодом собрать rpm-пакет, на бинарном уровне полностью соответствующий размещённому в репозитории эталону, что может быть использовано для проверки тождественности и отсутствия закладок. Аналогичный проект по обеспечению повторяемых сборок развивается (https://wiki.debian.org/ReproducibleBuilds) разработчиками Debian.<br><br><br>URL: http://securityblog.redhat.com/2013/09/18/reproducible-builds-for-fedora/<br>Новость: http://www.opennet.ru/opennews/art.shtml?n https://www.opennet.ru/openforum/vsluhforumID3/91786.html#56 Sun, 03 Nov 2013 07:20:26 GMT &gt;&gt; ...одно из двух^Wтрёх: <br>&gt; http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html по буковкам C, R, <br>&gt; U.<br><br>В сравнении с<br>http://www.netfort.gr.jp/~dancer/software/pbuilder.html.en<br>http://lists.debian.org/debian-devel/2001/08/msg01895.html<br><br>, понятно, что третий случай - [B]постановка[/B] задачи другая. Академ.сорс с рописью ди-ерсте-колонне-марширт против "у меня тут скрипт. работает, вроде. загружаю в Debian". <br><br>А так это _всё_ наколенные скрипты: каждый работает только в одном дистибутиве и/или в присутствии автора. Например: почему pbuilder/hasher/mock нет в пакетах "конкурирующего" дистрибутива (не Deb/не Alt/не RH-like).<br><br>Re: C/R/U -- При использовании fakeroot три пользователя и в pbuilder есть: реальный C, запускающий pbuilder; [fake]root R ставящий зависимости в chroot-е; и U c uid BUILDUSERID=1234 из pbuilderrc. //От fakeroot-а не всё работает, правда (mount).<br><br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#55 Tue, 24 Sep 2013 21:43:07 GMT &gt;&gt;&gt; Помнится <br>&gt;&gt; Вот это склероз, даже мне завидно стало.<br><br>(даже не знаю, что надо было сделать, чтоб такое "помнилось")<br><br>&gt; По теме есть что сказать?<br><br>Да, но надо бы тогда посмотреть на спек, который мог быть запакован в файле с названием php5-memcached-5.3.11.src.rpm, и на строчку Version: оттуда. А затем поинтересоваться, как именно запускался hsh, потому как федорин пакет не пройдёт проверку %changelog.<br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#54 Tue, 24 Sep 2013 16:16:41 GMT &gt; ...одно из двух^Wтрёх: <br><br>http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html по буковкам C, R, U.<br><br>PS: про zbuilder в nexenta и прочие z/OG в IBM не в курсе.<br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#53 Tue, 24 Sep 2013 05:50:32 GMT &gt; Значит сейчас проблемы будут только с теми пакетами, где дата <br>&gt; зашивается в выходные файлы сборочными скриптами. Спасибо, буду знать.<br><br>Например, с теми, в которых лежат .cpio "упаковочки" с датами каждого файла?<br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#52 Mon, 23 Sep 2013 22:34:36 GMT &gt;&gt; Если мне не изменяет мой склероз, то в какой-то из дискуссий пробегала <br>&gt;&gt; информация что в некоторых случаях в бинарник попадает дата сборки.<br>&gt; В обсуждавшемся случае это зависит от компилятора, из gcc уже довольно давно <br>&gt; убрали (выполнялось руками, так что несколько секунд между вызовами make прошло): <br><br> Значит сейчас проблемы будут только с теми пакетами, где дата зашивается в выходные файлы сборочными скриптами. Спасибо, буду знать.<br><br>&gt; PS: привет, Лёш :)<br><br> Привет, Миш :-)<br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#51 Mon, 23 Sep 2013 16:05:46 GMT <br>&gt; "насколько там не до бинарного совпадения получаемых .rpm" //fixed <br><br>Да, так точнее<br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#50 Mon, 23 Sep 2013 16:05:00 GMT &gt;&gt; Помнится <br>&gt; Вот это склероз, даже мне завидно стало.<br><br>По теме есть что сказать?<br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#49 Mon, 23 Sep 2013 09:18:17 GMT &gt; Если мне не изменяет мой склероз, то в какой-то из дискуссий пробегала <br>&gt; информация что в некоторых случаях в бинарник попадает дата сборки.<br><br>В обсуждавшемся случае это зависит от компилятора, из gcc уже довольно давно убрали (выполнялось руками, так что несколько секунд между вызовами make прошло):<br>[code]$ echo "main () { return 0; }" &gt; tstamp.c<br>$ make tstamp <br>cc tstamp.c -o tstamp<br>$ md5sum tstamp &gt; tstamp-1<br>$ rm tstamp <br>$ make tstamp <br>cc tstamp.c -o tstamp<br>$ md5sum tstamp &gt; tstamp-2<br>$ diff tstamp-{1,2}<br>$ gcc -v 2&gt;&1 &#124; tail -1<br>gcc version 4.7.2 20121109 (ALT Linux 4.7.2-alt7) (GCC) <br>$ <br>[/code]PS: привет, Лёш :)<br> https://www.opennet.ru/openforum/vsluhforumID3/91786.html#48 Sat, 21 Sep 2013 04:58:44 GMT &gt; и собирать собственным компилятором. желательно &#8212; написанным вручную машинным кодом.<br><br>не поможет: закладки-то ещё и в железе могут быть!<br>