Debian passe finalement aux builds reproductibles

DEBIAN AMÉLIORE LA SÉCURITÉ DE SES PACKAGES
Debian a annoncé que tous les nouveaux packages devaient être reproductibles, ce qui signifie que la compilation du package source devra créer un fichier déb identique au bit près, sur un environnement spécifié dans le fichier buildinfo. Cette initiative contribue à la sécurité de la supply chain logicielle, en favorisant la détection des paquets altérés. Les builds reproductibles sont une réponse aux préoccupations de sécurité soulevées par les révélations d'Edward Snowden en 2013.

Les bénéfices de la reproductibilité
La reproductibilité des packages permet de détecter les altérations des paquets et de garantir l'intégrité des logiciels. Les builds reproductibles sont obtenus en supprimant les données non déterministes dans les bibliothèques statiques, en stabilisant l'ordre de génération de champs de contrôle et en ajoutant un fichier buildinfo décrivant la configuration des environnements de build. Plus de 98 % des paquets dans les archives Debian ont déjà été rendus reproductibles.

Le projet Reproducible Builds
Debian a impulsé un mouvement plus large avec le projet Reproducible Builds, qui vise à rendre les builds reproductibles pour d'autres distributions Linux. Des distributions comme NixOS et Arch Linux ont déjà rendu reproductibles certaines de leurs images de base. Le projet a identifié une quinzaine de variables d'environnement susceptibles d'engendrer des packages non reproductibles, notamment les horodatages, les usernames et les hostnames.

Conclusion
La décision de Debian de passer aux builds reproductibles est une étape importante pour améliorer la sécurité de la supply chain logicielle. Cette initiative devrait inspirer d'autres distributions Linux à suivre le même chemin, et contribuer à renforcer la confiance dans les logiciels open source. Vous pouvez en savoir plus sur le projet Reproducible Builds et sur les builds reproductibles Debian.

---

Source : Silicon.fr​