Zuletzt aktualisiert am
Linux News & Tutorials
Bobby Borisov

Arch Linux liefert nun ein reproduzierbares Docker-Image aus

Bobby Borisov 😛 Christian Spaan

Arch Linux hat ein reproduzierbares Docker-Image veröffentlicht, das den Nutzern einen bitgenauen Container-Build bietet, wobei jedoch einige Einschränkungen bestehen bleiben.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Arch Linux bietet nun ein bitgenau reproduzierbares Docker-Image an und erweitert damit seine Initiative für reproduzierbare Builds auf Container, nachdem bereits ein ähnlicher Erfolg mit dem WSL-Image erzielt wurde. Das neue Image ist unter einem separaten repro Tag verfügbar und ersetzt nicht das Standard-Container-Image von Arch Linux.

Für Leser, denen der Begriff unbekannt ist: Ein reproduzierbares Image kann aus derselben Quelle neu erstellt werden, um ein identisches, byteweises Ergebnis zu erzielen. Für Arch stellt dies sicher, dass wiederholte Builds denselben Image-Digest ergeben. Das Projekt überprüft dies mithilfe von diffoci, einem Tool zum Vergleichen von OCI-Container-Images.

Kurz gesagt, es geht um Sicherheit. Reproduzierbarkeit ermöglicht es Benutzern, zu überprüfen, ob ein veröffentlichtes Container-Image mit seiner Quelle und seinem Build-Prozess übereinstimmt, was die Transparenz der Lieferkette erhöht. Unabhängige Neuerstellungen, die identische Ergebnisse liefern, verringern das Risiko versteckter Unterschiede.

Die aktuelle Implementierung weist jedoch eine wesentliche Einschränkung auf. Um die Reproduzierbarkeit zu gewährleisten, entfernt Arch die Pacman-Schlüssel, sodass Pacman nicht sofort einsatzbereit ist. Benutzer müssen den Schlüsselbund manuell neu generieren, indem sie vor dem Aktualisieren oder Installieren von Paketen den Befehl pacman-key --init && pacman-key --populate archlinux ausführen. Arch betrachtet das separate repro Tag als ersten Meilenstein auf der Suche nach einer besseren Lösung.

Laut der Ankündigung umfassten die wichtigsten Docker-spezifischen Änderungen die Festlegung von SOURCE_DATE_EPOCH, dessen Anwendung auf das OCI-Image-Erstellungslabel, das Entfernen der ldconfig-Hilfs-Cache-Datei zur Beseitigung von Nicht-Determinismus sowie die Normalisierung von Zeitstempeln während Docker- und Podman-Builds.

Weitere Details finden Sie in der Ankündigung.

 

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen

 

Comments

Featured

Follow us

Authors

Tags