Build NixOS yang Dapat Direproduksi: ISO minimal berhasil dibangun ulang secara independen

 (discourse.nixos.org)
1 poin oleh GN⁺ 2023-10-30 | 1 komentar | Bagikan ke WhatsApp
  • Tim NixOS telah berhasil menyelesaikan pembangunan ulang ISO nixos-minimal yang diterbitkan oleh Hydra secara independen dan identik hingga tingkat bit.
  • Manfaat utama dari Reproducible Builds adalah memberikan cara yang andal untuk memverifikasi bahwa tidak ada manipulasi dalam pipeline build.
  • Tim mereproduksi semua paket yang disertakan dalam ISO, build ISO itu sendiri, serta paket yang diperlukan untuk membangun ISO namun tidak disertakan di dalamnya.
  • Reproduksi dicapai dengan memulai mesin VirtualBox baru dengan NixOS 20.03, mengkloning repositori NixOS, melakukan checkout ke commit tertentu, dan menjalankan serangkaian perintah untuk membangun ISO.
  • Tim mengakui bahwa pendekatan ini memiliki potensi masalah bootstrap, termasuk kemungkinan adanya backdoor pada OVA 2020 atau git yang diunduh. Namun, pengujian ini tetap memberikan tingkat keyakinan yang tinggi terhadap kemampuan reproduksi ISO tersebut.
  • Tim sebelumnya mengumumkan bahwa ISO minimal dapat direproduksi 100%, tetapi ada perbedaan yang muncul karena masalah pada cache Hydra dan cara ISO dibuat. Masalah-masalah ini kini telah diselesaikan.
  • Pekerjaan selanjutnya mencakup menghapus hack yang digunakan dalam proses reproduksi, memastikan lebih banyak paket dapat direproduksi, membangun infrastruktur untuk pembangunan ulang independen secara rutin, serta membuat alat untuk berbagi dan menggunakan bukti build.
  • Tim mengundang orang lain untuk bergabung dalam upaya mereka, serta menyediakan tautan ke papan proyek GitHub dan situs web NixOS Reproducible Builds untuk informasi lebih lanjut.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-30
Komentar Hacker News
  • Membangun ulang ISO minimal dari source dianggap sebagai pencapaian penting untuk membangun sistem dari source yang dapat direproduksi.
  • Guix mencapai tonggak penting yang patut dicatat dengan mem-bootstrap seluruh toolchain kompiler dari satu biner 357-byte yang dapat direproduksi.
  • Ada pertanyaan mengapa reproduktibilitas bukan perilaku bawaan dalam kompilasi perangkat lunak.
  • Ada usulan agar NixOS, seperti distribusi Linux lainnya, meminta maintainer menandatangani paket untuk memastikan bahwa kode yang diajukan dan ditinjau sama dengan kode yang dibangun.
  • Ada kebingungan tentang reproduktibilitas NixOS, yang dianggap sebagai fungsi inti sistem tersebut.
  • Proyek OpenBSD mendapat perhatian karena pendekatannya yang kontras, di mana setiap instalasi bersifat unik dan memiliki offset alamat acak.
  • Dijelaskan dengan jelas bahwa reproduktibilitas Nix/NixOS/Nixpkgs hanya berlaku untuk source, sementara binari dapat berubah pada setiap build.
  • Disebutkan bahwa sistem lain seperti Guix, Archlinux, dan Debian melakukan reproduktibilitas binari lebih baik daripada Nix/NixOS/Nixpkgs.
  • Tonggak ini dipuji sebagai sesuatu yang mengesankan, dan ada permintaan informasi tambahan tentang bagaimana ISO tersebut dibuat.
  • Ada usulan bahwa perkembangan ini dapat membantu menyelesaikan masalah kompiler berpintu belakang yang dibahas dalam 'Reflections on Trusting Trust' karya Ken Thompson.
  • Karena waktu sering masuk ke dalam binari, ada pertanyaan apakah waktu sistem perlu dipalsukan untuk proses ini.
  • Diminta perbandingan antara perkembangan ini dan Fedora Silverblue, Ansible, serta Fedora Silverblue + Ansible di dalam ekosistem Red Hat.