デフォルトでは、GUIXを使用してパッケージをインストールしようとしていますが、パッケージが少しずつ再生されない場合はどうなりますか? 私は2024年のパッケージマネージャの状態(そしてサプライチェーン攻撃のリスク)が非常に懸念されています。伝統的なパッケージマネージャは次のとおりです。aptそしてyumすべてのリリースを検証、テスト、および暗号化する署名を持つ専用パッケージマネージャチームによって維持されます。フラットパック、壊れる、dockerは、任意のユーザーがパッケージを送信できるようにします。楽しくダウンロード悪意を持って修正されたソフトウェアを実...
存在するLHCbソフトウェアのパッケージングと展開にNixを使用する、著者は次のように書いた。 この使用を容易にするには、ソフトウェアは長期的にサポートされているオペレーティングシステムよりもはるかに長い間安定している必要があります。さらに、ソフトウェアは最終結果の正確性を保証するために元のバージョンに存在するすべてのバグを再現する必要があります。パッチを慎重に導入できるように、ビルドは反復可能でなければなりません。 ただし、NixOS 構成ファイルには (Rust マニフェストとは異なり) パッケージのバージョンは含まれていません。例えば enviro...
私はchromium 108Debian Buster用にビルドしようとしています。このパッケージはDebian Bullseyeでのみ利用可能であるため、Debian Busterビルドマシンでそれを/etc/apt/sources.listBulllesyseに変更してソースをダウンロードする必要があります。 apt-get source chromium sources.listそれからバスターに戻りました。 ディレクトリに移動して、次のことを試してくださいdpkg-buildpackage。 cd chromium-108.0.5359.94 dp...
固定バージョンでDockerイメージを構築するためにNixを使用しようとしています。ファイルは次のように動作します。 { pkgs ? import <nixpkgs> { } }: pkgs.dockerTools.buildImage { ... ただし、次の場合は失敗します。 { pkgs ? (import (builtins.fetchTarball { url = "https://github.com/NixOS/nixpkgs/archive/44fc3cb097324c9f9f93313dd3f103e78d722968...
状況を想像してみてください。 あなた自身のカスタムカーネルを実行しています。新しい小さなアップデートがリリースされました。それが昨日リリースされ、すでに実行されていると.configしましょう。5.16.165.16.15 どうやって決めますか?〜しなければならない5.16.16変更が含まれています実際に設定に影響しますか?コンパイルして再起動する必要がありますか、それとも0に変更され、安全にスキップできますか? 私はこれについて考えています: パッチ適用 カーネルバージョンをすでに実行しているバージョンに戻します。 カーネルをビルドし、一時ディレクトリに...
私の全体的な目標は、修正可能なRT_PREEMPTカーネルを構築することです。中間段階でRT_PREEMPTではなく、通常のカーネルをビルドしてインストール(そしてgrubエントリとして実行)してみました。しかし、以下の質問は、RT_PREEMPTが言及されていないにもかかわらず正しいと思います。 シナリオは次のとおりです。 .iso から Debian 11 を新規インストール 私の考えでは、kernel.orgから同じカーネルソースコードに最も近いものをダウンロードしてください。 立つ、 次の理由で起動が失敗します。 Loading initial ...
mksh再現可能な方法でパッケージを構築できることを確認したいと思います。頑張っています apt build-dep mksh apt source mksh cd mksh; dpkg-buildpackage -uc -us cd ..; sha256sum <freshly build dep> 私が今これをするなら apt download mksh ダウンロードしたdebのチェックサムをローカルで作成したDebianパッケージと比較すると、チェックサムが異なります(debに署名しなかったと予想) これらのチェックサムを一致させるには...
繰り返し可能なビルドが重要な理由は、以下に説明されています。reproduciblebuild.org: 無料のオープンソースソフトウェアのソースコードで悪意のある欠陥は誰でも確認できますが、ほとんどのソフトウェアはプリコンパイルされた状態で配布されるため、該当するかどうかを確認する方法はありません。 これにより、ソフトウェアを公開する開発者に対する攻撃は、伝統的な攻撃だけでなく、政治的影響力、脅迫、さらには暴力の脅威の形でも引き起こされました。 ~によるとisdebianreproducibleyet.comDebianの現在の再現性...
自動化プロセス中に.isoファイルを使用してISOファイルが生成されますmkisofs。元のデータがまったく同じであるため、結果のisoファイルも異なります(md5sum変更)。私の結果のため、rsync --checksum毎回「同じISO」を再送信するのは好きではありません。タイムスタンプが大きな違いになると予想しました。 同じ方法でisoを生成できる内蔵スイッチはありますかlibfaketime?mkisofs タイムスタンプだけが重要かどうか疑問に思います。生成されたisoファイルを以下のように出力とxxd isofile比較しました。 dif...
ファイルの内容が同じ場合(同じ権限を持つルートが所有している場合)、initramfsがいつどこでビルドしても同じハッシュを持つことを望みます。 GNU cpioには、アーカイブ内のファイルのタイムスタンプを削除または設定するオプションは表示されません。再現可能な製品を得るためにcpioや他のアーカイブプログラムへの入力を処理する比較的標準的な方法はありますか? それ以外にも、伝統的な「日付が与えられませんでした」タイムスタンプはありますか?ほとんどのソフトウェアが気づいていないものは何ですか?例えば、第0世代初め? たとえば、initramfsの入力デ...
bzip2100%再現が必要なファイルに圧縮を使用するときに潜在的な問題があるかどうかを確認しようとしています。具体的には、メタデータ(名前/インデックスノード、lastmod日付など)または他のものが同じファイルの内容になりますか?別のチェックサムの生成生成されたアーカイブから.bz2? 例えば、gzipはデフォルトでは決定的ではありません使用しない限り-n。 これまでのおおよそのテストによると、bzip2は同じ入力データ(メタデータ、プラットフォーム、ファイルシステムなどに関係なく)が与えられると同じファイルを一貫して生成しますが、エピソードが多けれ...
Linuxシステム用のイメージファイルを準備しています。イメージを生成し、出力が毎回同じビット単位で表示されるようにするスクリプトを実行できる必要があります。 私は大きなバイナリファイルを作成し、パーティションを分割し、そのパーティションを使用してループデバイスを作成し、Iファイルシステムを作成する一般的なプロセスを経ます。その後、mountファイルシステムシステムLinuxそして初期化プログラム物を梱包し、パーティションをマウント解除し、ループデバイスを削除し、イメージファイルを持つようになりました。これをディスクにコピーすると、ddLinuxシステムが...
密接に関連makefileに提供されている依存関係をツリーとして表示するには?しかし、そこに提供された答えは満足できません(つまり、うまくいきません)。 標準のMakefileにエンコードされたDAG(方向性非循環グラフ)を可視化するためのツールはありますか?たとえば、Unixパイプラインを介した後処理のためのシェルスクリプトも許容可能なソリューションです(おそらくMakeFilesをgraphvizまたはLaTeXに変換するpandocフィルタを使用)。 このグラフィックビジュアライゼーションを直接組み立てるツールは必ずしも必要ではありませんか?メイクファ...
いくつかの文脈では、rootではなくユーザーとしてパッケージのビルドをサポートするパッケージマネージャに似たユーティリティを開発しています。アーカイブを使用tarしてメタデータを無視する代わりに、ルートとしてビルドされたパッケージがルート以外のパッケージと完全に区別されないようにしたいと思います。 tarアーカイブ内のファイルとディレクトリに、許可ビット、タイムスタンプ、所有権関連情報などのメタデータが含まれていない(理想的には含まれない)形式/ユーティリティはありますか?私はアーカイブがその中にあるディレクトリとファイル、そしてファイルの内容で完全に説明...
Dockerの言及バージョン管理と共有に関する一般的なドキュメントとコメントドッカーファイル、誰でも同じ画像を作成できるようにする必要があります。良いようですが、一般的にこのようなコマンドがあります。 RUN apt-get update pip install.. これにより、実行時に異なるアイテム/バージョン/パッチがインストールされ、デバッグが困難になる可能性があります。 一方、ドッカー画像を共有しても、バージョン管理や2つの画像の違いを正確に確認するなどの利点はありません。 開発と展開の際には、どのようなもの(dockerfileまたはイ...