NixOS पुनरुत्पादित किए जा सकने वाले बिल्ड: स्वतंत्र रूप से सफलतापूर्वक पुनर्निर्मित minimal ISO

 (discourse.nixos.org)
1 पॉइंट द्वारा GN⁺ 2023-10-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • NixOS टीम ने Hydra द्वारा जारी किए गए nixos-minimal ISO का स्वतंत्र और bit-for-bit समान पुनर्निर्माण सफलतापूर्वक पूरा कर लिया है.
  • Reproducible Builds का मुख्य लाभ यह है कि यह यह सत्यापित करने का एक भरोसेमंद तरीका देता है कि build pipeline में छेड़छाड़ नहीं की गई थी.
  • टीम ने ISO में शामिल सभी packages, स्वयं ISO के build, और ISO में शामिल न होने पर भी ISO बनाने के लिए आवश्यक packages को पुनरुत्पादित किया.
  • यह पुनरुत्पादन NixOS 20.03 वाले एक नए VirtualBox machine को शुरू करके, NixOS repository को clone करके, एक specific commit को checkout करके, और ISO बनाने के लिए commands की एक श्रृंखला चलाकर हासिल किया गया.
  • टीम ने माना कि इस approach में संभावित bootstrap समस्या है, जिसमें 2020 ova या downloaded git में backdoor होने की संभावना शामिल है. फिर भी, यह test ISO की reproducibility के बारे में उच्च स्तर का भरोसा देता है.
  • टीम ने पहले घोषणा की थी कि minimal ISO 100% reproducible है, लेकिन Hydra cache और ISO generation के तरीके में समस्याओं के कारण अंतर आ गए थे. अब ये समस्याएँ हल कर दी गई हैं.
  • आगे के काम में reproducibility प्रक्रिया में इस्तेमाल किए गए hacks को हटाना, अधिक packages की reproducibility सुनिश्चित करना, नियमित स्वतंत्र पुनर्निर्माण के लिए infrastructure बनाना, और build proof को साझा करने व उपयोग करने के लिए tools बनाना शामिल है.
  • टीम ने दूसरों को अपने प्रयासों में शामिल होने के लिए आमंत्रित किया है, और अधिक जानकारी के लिए GitHub project board और NixOS Reproducible Builds वेबसाइट के links दिए हैं.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-10-30
Hacker News टिप्पणियाँ
  • source से minimal ISO को rebuild करना एक महत्वपूर्ण उपलब्धि माना जाता है, क्योंकि इससे reproducible source से system बनाया जा सकता है।
  • Guix ने एक single reproducible 357-byte binary से पूरे compiler toolchain को bootstrap करने में एक उल्लेखनीय milestone हासिल किया।
  • यह सवाल उठता है कि software compilation में reproducibility default behavior क्यों नहीं है।
  • सुझाव दिया गया कि NixOS भी अन्य Linux distributions की तरह maintainer signatures के साथ packages submit करे, ताकि यह सुनिश्चित हो सके कि submit और review किया गया code वही है जो build किया जा रहा है।
  • NixOS की reproducibility को लेकर भ्रम है, क्योंकि इसे system की core feature के रूप में समझा गया था।
  • OpenBSD project को एक contrasting approach के लिए नोट किया गया है, जहाँ हर installation unique होती है और उसका address offset random होता है।
  • यह स्पष्ट किया गया कि Nix/NixOS/Nixpkgs में reproducibility केवल source के लिए है; binaries हर build में बदल सकती हैं।
  • यह भी कहा गया कि Guix, Archlinux और Debian जैसे अन्य systems, Nix/NixOS/Nixpkgs की तुलना में binary reproducibility बेहतर तरीके से करते हैं।
  • इस milestone की प्रभावशाली उपलब्धि के रूप में प्रशंसा की गई, और ISO कैसे generate किया गया इस पर अधिक जानकारी मांगी गई।
  • यह सुझाव दिया गया कि यह विकास Ken Thompson के 'Reflections on Trusting Trust' में चर्चा की गई backdoored compiler समस्या को हल करने में मदद कर सकता है।
  • यह प्रश्न भी है कि चूंकि समय अक्सर binaries के अंदर शामिल हो जाता है, क्या इस प्रक्रिया में system time को fake करना पड़ता है।
  • इस विकास की तुलना Red Hat ecosystem के Fedora Silverblue, Ansible, और Fedora Silverblue + Ansible से करने की मांग की गई।