Compilando você os binários com flags próprias, não corre o risco de quebrar a “reproducible build”? Ou isso não é valorizado no Gentoo?..
Não tinha pensado nisso, mas acho que faz sentido.
Mas assim, pra customizar minhas builds, a gente usa o sistema de USE flags do gentoo, que é só um wrapper pra configurar cada build. Então tipo, se alguém quiser reproduzir minha build, só usar as mesmas USE flags que eu, a grosso modo
se alguém quiser reproduzir minha build, só usar as mesmas USE flags que eu, a grosso modo
Mas há algum sistema de comparar os hashes de seus binários com os de outros utilizadores, mesmo que apenas aqueles que usam as mesmas build flags?
Se eu desconfiar (ou quiser confirmar) a autenticidade dum binário debian ou redhat, por exemplo, basta descarregar o pacote dum mirror e comparar os hashes.
Como poderia ser feito num sistema gentoo? Mesmo com as mesmas build flags, não resultam comilações ligeiramente diferentes dependendo do hardware, por exemplo?
Agora que falei em comparação de hashes, parece-me que seria um serviço interessante, disponibilizar os hashes oficiais num site, com alguma API, utilizável por alguma ferramenta como o tripwire para comparação online.
Não tinha pensado nisso, mas acho que faz sentido.
Mas assim, pra customizar minhas builds, a gente usa o sistema de USE flags do gentoo, que é só um wrapper pra configurar cada build. Então tipo, se alguém quiser reproduzir minha build, só usar as mesmas USE flags que eu, a grosso modo
Mas há algum sistema de comparar os hashes de seus binários com os de outros utilizadores, mesmo que apenas aqueles que usam as mesmas build flags?
Se eu desconfiar (ou quiser confirmar) a autenticidade dum binário debian ou redhat, por exemplo, basta descarregar o pacote dum mirror e comparar os hashes.
Como poderia ser feito num sistema gentoo? Mesmo com as mesmas build flags, não resultam comilações ligeiramente diferentes dependendo do hardware, por exemplo?
ah, boa pergunta, não tenho certeza não, mas achei esse artigo da wiki do gentoo sobre: https://wiki.gentoo.org/wiki/User:OstCollector/Reproducible_Build
Eu nunca tinha pensando nisso na real sksk
Agora que falei em comparação de hashes, parece-me que seria um serviço interessante, disponibilizar os hashes oficiais num site, com alguma API, utilizável por alguma ferramenta como o tripwire para comparação online.