debbindiff: Debian prüft künftig den Ursprung der Binärdatei

Also künftig heißt in dem Zusammenhang nicht in der nächsten großen Version Debian 8 Jessie. Laut Micah Lee könnte Debian allerdings das erste Betriebssystem und Linux-Distribution werden, dass den Ursprung der Binärdateien beweist.Die Funktion würde es also jedem erlauben, unabhängig prüfen zu können, dass das jeweilige Debian-Paket auch aus den angegebenen Quellen entstanden ist.

Ursprung mit debbindiff prüfen

Das Team hat bereits 83 Prozent der Quell-Pakete abgewickelt, die sich im Haupt-Archiv des Unstable-Zweiges befinden. Das steht in einem kürzlich ausgegebenem Report. Für Jessie reicht es allerdings nicht mehr und die Funktion wird dort keinen Einzug halten. Für Debian 9 Stretch könnte es aber reichen. Hoffen wir, dass es nicht bis Debian 10 Buster dauert. Die reproduzierbaren Builds soll sogar als Entwicklungs-Ziel für Stretch aufgenommen werden.

Das Team hat ein Tool entwickelt, das sich debbindiff nennt. Damit kann man detaillierte Unterschiede (diffs) bei den Binär-Paketen untersuchen. Die Pakete werden dann zweimal auf jenkins.debian.net gebaut und die reproduzierbaren Resultate im Debian Package Tracker hinterlegt.

Durch diese Funktion lassen sich Lücken bei der Transparenz schließen. Auch wenn der Quellcode Open-Source ist, gibt es dennoch eine Lücke zwischen den Quellen, dem Kompilieren und / oder Paketieren – da ist die Sache nicht ganz durchsichtig. Sollte ein System kompromittiert sein und beim Build etwas schief gehen, merkt man das möglicherweise nicht. Mit den reproduzierbaren Builds würde man das Problem in Angriff nehmen.

Soon @debian could be the first OS that can prove that its binaries were compiled from published source code pic.twitter.com/RjaNYiBkwI

— Micah Lee (@micahflee) 22. Februar 2015