デフォルトでは、GUIXを使用してパッケージをインストールしようとしていますが、パッケージが少しずつ再生されない場合はどうなりますか?
私は2024年のパッケージマネージャの状態(そしてサプライチェーン攻撃のリスク)が非常に懸念されています。伝統的なパッケージマネージャは次のとおりです。apt
そしてyum
すべてのリリースを検証、テスト、および暗号化する署名を持つ専用パッケージマネージャチームによって維持されます。フラットパック、壊れる、dockerは、任意のユーザーがパッケージを送信できるようにします。楽しくダウンロード悪意を持って修正されたソフトウェアを実行します。
今日は、再現可能なビルドを強調するGUIXについて学びました。しかし、1時間のドキュメントを読んだ後、GUIXで再現可能なビルドがどのように機能するのか、実際に機能するのかはわかりません。無理にさせるすべてのパッケージについて。
GUIXのデフォルトインストールでは、ビルドを再現可能にする必要がありますか?ソフトウェアと生成されたバイナリの信頼性をどのように保証しますか?システムにどのような脆弱性がある可能性がありますか?
答え1
デフォルトでは、GUIXを使用してパッケージをインストールしようとしていますが、パッケージが少しずつ再生されない場合はどうなりますか?
特別なことはありません。パッケージがインストールされます。
ただし、実際にパッケージを再現しようとしていて、GUIXソースパッケージがそのGUIXバイナリパッケージにあるものと異なるものを生成すると、ビープ音が鳴ります。
GUIXパッケージマネージャは、このタスクを自動的に実行する独自の機能を提供し、これを簡単に実行します。guix challenge
注文する。
しかし、建物すべてソースで再現性を検証するのは非常に退屈で、20個のシステムを実行している場合は、各パッケージを20回ビルドしたくないでしょう。代わりに、各システムが異なるセットでチャレンジを実行するように設定できます。パッケージ、並列検証。
あるいは、すべてのパッケージに挑戦するのに十分に頑固でない場合は、信頼できるGUIXユーザーを見つけることができます。たぶんあなたは正直な人々を正直に保つために時々ランダムなパッケージに挑戦するかもしれません。十分な人がこれを行うと、繰り返し不可能性がすばやく検出され、ワークロードが共有されます。
つまり、落ちる。あなた利用可能なコンピューティングリソースと必要な境界レベルに基づいて、どのパケットを確認し、どのくらいの頻度で確認するかを決定します。
また、再現性だけではマルウェアがないことを保証しないことに注意してください。誰も実際のソースコードを読まないと、悪意のある人がGUIXソースコードリポジトリに悪意のあるコードを注入して、完全に再現可能な邪悪なバイナリで終わる可能性があります。パッケージ。