Debianの「どんな環境でビルドしても同一のバイナリを生成できる」試み
2015年9月10日 12:08
insiderman 曰く、 Debianがバイナリファイルの信頼性向上のため、「どんな環境でビルドしても同じバイナリが生成される」ような仕組み(Reproducible builds)の普及に取り組んでいるそうだ(Slashdot、Motherboard)。
Debianではソースパッケージを利用することでソースコードからのビルドは簡単に行えるが、ビルドに使用した環境の違いなどによって生成されるバイナリは異なるものになる可能性がある。Debianはこの問題を解決し、どのような環境でも常に同一のバイナリを生成できるような仕組みを導入することで、改変されたバイナリを簡単に判別できるようにすることを目指しているという。
Debianが今これに注力する理由として、諜報機関などがソフトウェアにバックドアを仕込む、という問題が挙げられている。Reproducible buildsを導入することで、こういった問題への対策になるということのようだ。なお、現在、Debianの全パッケージのうち83%がReproducible buildsに対応しており、この割合は徐々に増加し続けているという。
近年ではLinuxの世界でも第三者がビルドしたソフトウェアをダウンロードして使うことが普通になっており、最近では第三者がビルドした仮想マシンをダウンロードして使う、という例も増えている。そのバイナリが本当に安全なのか、バックドアは仕込まれていないか、利用者はその点を注意・確認してから利用するべきだろう。
スラドのコメントを読む | セキュリティセクション | Linux | セキュリティ
関連ストーリー: RMS曰く、プロプライエタリーソフトウェアの多くがマルウェア 2015年05月24日 Debian 8.0 「Jessie」 リリース 2015年04月27日 イースターエッグは消えていく運命なのか 2015年04月07日 最近のLinuxは複雑になりすぎている? 2015年02月13日 中国、銀行との取引を望む企業に対し製品のソースコード提出とバックドアの設置を要求 2015年01月30日