Arch Linux macht sein WSL-Image über Builds hinweg vollständig reproduzierbar
Arch Linux hat sein offizielles WSL-Image vollständig reproduzierbar gemacht und gewährleistet so bitweise identische Builds unter Verwendung archivierter Repositorys und normalisierter Zeitstempel.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Das Arch Linux-Projekt hat einen wichtigen Meilenstein in seiner Infrastruktur erreicht, indem es sein offizielles Windows-Subsystem für Linux-Image vollständig reproduzierbar gemacht hat.
Einfach ausgedrückt bedeutet dies, dass das Image nun so erstellt wird, dass es jedes Mal genau das gleiche Ergebnis liefert. Wenn das Image später mit derselben Quelle neu erstellt wird, ist es bis auf das letzte Bit identisch.
Für normale Benutzer liegt der Vorteil vor allem in der Vertrauenswürdigkeit und Zuverlässigkeit. Es ist nun viel einfacher zu überprüfen, ob das heruntergeladene Image während des Erstellungsprozesses nicht verändert, manipuliert oder versehentlich geändert wurde.
Außerdem wird das Risiko versteckter Probleme bei der Erstellung reduziert, die zu subtilen Fehlern oder Sicherheitsproblemen führen könnten. Während sich das Aussehen und Verhalten von Arch Linux WSL nach der Installation nicht ändert, ist die Art und Weise, wie es erstellt wird, nun transparenter und zuverlässiger.
Um dies zu erreichen, hat das Arch Linux-Team viele Zufallsquellen aus dem Build-Prozess entfernt. Die Paketinstallation erfolgt nun anhand eines festen Snapshots aus dem Arch Linux-Archiv, wodurch sichergestellt wird, dass für alle Builds eines bestimmten Images dieselben Paketversionen verwendet werden. Es wird überall ein einziger Referenzzeitstempel verwendet, wodurch Unterschiede aufgrund des Build-Zeitpunkts vermieden werden.
Darüber hinaus werden die Zeitstempel innerhalb des Dateisystems normalisiert, sodass sie nicht mehr davon abhängen, wann das Image erstellt wurde. Pacman-Protokolle, die normalerweise zeitbasierte Einträge aufzeichnen, werden bei der Image-Erstellung ausgeschlossen, um die Einbettung unnötiger, variabler Daten zu vermeiden.
Darüber hinaus ermöglichen die jüngsten Verbesserungen in Pacman, dass die in seiner lokalen Datenbank gespeicherten Paketinstallationsdaten denselben festen Zeitstempel verwenden, wodurch eine weitere Quelle für Abweichungen beseitigt wird.
Auch wenn diese Änderung für die Benutzer im täglichen Betrieb nicht sichtbar ist, stellt sie doch eine erhebliche Verbesserung in Bezug auf Vertrauen, Sicherheit und Transparenz der Lieferkette dar. Jetzt kann jeder das Arch Linux WSL-Image unabhängig neu erstellen und überprüfen, ob es genau mit der offiziellen Version übereinstimmt.
Weitere Informationen finden Sie in der Ankündigung auf der Mailingliste von Arch.
Comments