openSUSE-Projekt feiert Erfolg auf dem Weg zu Reproducible Builds - LinuxCommunity

Lässt man eine Linux-Distribution mit den passenden Werkzeugen mehrfach automatisch bauen, weichen die Ergebnisse voneinander ab. Dem Projekt Reproducible-openSUSE (kurz RBOS) ist es jetzt gelungen, eine Distribution mit aufs Bit identischen Paketen zu erzeugen. Baut man eine Distribution mehrfach mit den gleichen Werkzeugen aus dem gleichen, vorgegebenem Quellcode, weichen die fertigen Pakete dennoch voneinander ab. Durch dieses Verhalten kann man deutlich schlechter feststellen, ob unter anderem ein Paket manipuliert wurde oder beim Bau Fehler aufgetreten sind. Distributoren hätten daher gerne sogenannte Reproducible Builds: Solange man nicht die Werkzeuge verändert, spucken diese am Ende immer Pakete aus, die sich Bit für Bit gleichen. Mit anderen Worten lassen sich die Ergebnisse vorhersagen und reproduzieren. Der Weg zu den Reproducible Builds ist in der Praxis allerdings recht steinig. Im openSUSE-Projekt arbeitet Bernhard Wiedemann bereits seit 2016 daran. Für das Vorhaben existiert sogar ein eigenes Projekt namens Reproducible-openSUSE (RBOS). Unterstützt wurde Wiedemann jetzt von der NLnet Foundation. Sie bezuschusst Projekte, die das Internet ein Stückchen sicherer machen wollen. Dank der Finanzspritze der Foundation konnte Wiedemann vier Monate lang ausschließlich an den Reproducible Builds arbeiten. Das Ergebnis ist ein Fork von openSUSE, der ausschließlich aus „100% Bit-genau reproduzierbaren“ Paketen besteht. Dazu musste Wiedemann den Bootstrap-Prozess (den sogenannten Ring0) und 3.300 Softwarepakete (aus dem Ring 1) passend patchen und testen. Die fertige openSUSE-Distribution des RBOS-Projekts kann jeder selbst ausprobieren. Da das System allerdings derzeit keine Sicherheitsaktualisierung erhält, sollte man es nur zu Testzwecken installieren. Dazu lädt man sich zunächst eine virtuelle Maschine herunter wet https://rb.zq1.de/RBOS/ring1/_build.standard.x86_64/altimagebuild/altimagebuild-1-1.1.x86_64.rpm und startet sie dann mit den hier angegebenen Anweisungen in Qemu. Die Patches sollen nach und nach in das openSUSE Factory-Repository einfließen. Dort bereiten von den 16.000 Paketen momentan noch rund 300 Pakete Probleme.