ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

Reproducible builds: Πως το ελεύθερο λογισμικό γίνεται ακόμα πιο αξιόπιστο

Το λογισμικό ανοιχτού κώδικα είναι ιδιαίτερα αξιόπιστο σε σχέση με το λογισμικό κλειστού κώδικα, επειδή μπορείτε να δείτε τον πηγαίο κώδικα του προγράμματος τρέχετε.

Μπορούν όμως όλοι να δουν τον πηγαίο κώδικα;

debian-100533606-large

Οι περισσότεροι από εμάς δεν κάνουμε compile τα προγράμματα που χρησιμοποιούμε από τον πηγαίο κώδικα τους, αλλά χρησιμοποιούμε τα πακέτα που παρέχονται από τα αποθετήρια της διανομής μας. Αλλά πώς ξέρουμε ότι αυτά τα πακέτα πραγματικά κτίζονται από από τον συγκεκριμένο πηγαίο κώδικα και δεν έχουν παραποιηθεί;

Συνήθως, δεν υπάρχει τρόπος να ελεγχθεί ότι στην πραγματικότητα ένα πακέτο μεταγλωττίστηκε από κάποιον συγκεκριμένο πηγαίο κώδικα.  Ακόμη και αν η μεταγλώττιση γίνει ξανά για δεύτερη φορά και συγκρίνουμε τα δύο πακέτα, δεν θα είναι ακριβώς ίδια, μιας και θα πρέπει να αναπαράγουμε το ακριβές περιβάλλον μεταγλώττισης και να εξασφαλίσουμε ότι ο πηγαίος κώδικας δεν θα τραβήξει μεταβαλλόμενες πληροφορίες, όπως π.χ. η τρέχουσα ημερομηνία και ώρα.

Το Debian και μερικά άλλα έργα ελεύθερου λογισμικού κοιτάζουν μπροστά και προσπαθούν να λύσουν αυτό το πρόβλημα με τις “reproducible builds. Οι “reproducible builds,” εξασφαλίζουν την επαναληψιμότητα της μεταγλώτισης ενός πακέτου : Οποιοσδήποτε μπορεί να κάνει compile ένα κομμάτι του λογισμικού από τον πηγαίο κώδικα και να επιβεβαιώσει ότι πακέτο που έφτιαξε ταιριάζει με αυτό που προσφέρεται για λήψη από το Debian.

Οι reproducible builds παρέχουν μια πλήρη αλυσίδα εμπιστοσύνης σε όλη την διαδρομή ενός πακέτου: Από τον πηγαίο κώδικα μέχρι τη λήψη του στο αποθετήριο και έτσι επιβεβαιώνευται ότι δεν έχει παραβιαστεί από κανένα εισβολέα στην διαδρομή. Σήμερα, περισσότερο από το 83 τοις εκατό των πακέτων του Debian μπορούν να αναπαραχθούν μέσω επαναληψιμότητας. Αυτό σημαίνει ότι γύρω στα 18.000 πακέτα είναι ορατά στο reproducible.debian.net. Η ομάδα του debian πιστεύει ότι το μοντέλο των reproducible builds θα πρέπει να γίνει κανόνας σε όλο το οικοσύστημα του ελεύθερου λογισμικού και παρέχει αναλυτικές πληροφορίες που εξηγούν την διαδικασία επαναληψιμότητας.

Ήδη το Bitcoin και το Tor ακολουθούν το μοντέλο των reproducible builds, γεγονός που δεν αποτελεί έκπληξη, δεδομένου ότι πρόκειται για δύο έργα όπου η εμπιστοσύνη είναι το κλειδί και οποιαδήποτε αλλοίωση θα ήταν ιδιαίτερα επικίνδυνη. Υπάρχουν σε εξέλιξη προσπάθειες για να ακολουθηθεί αυτό το μοντέλο και από το Coreboot , το OpenWrt router firmware, το FreeBSD, το NetBSD, και από το Fedora

Το μοντέλο των reproducible builds είναι μια μεγάλη βελτίωση της ασφάλειας σε μια εποχή όπου οι επιθέσεις για κερκόπορτες γίνονται όλο και πιο εξελιγμένες . Είναι κάτι που μόνο το ελεύθερο λογισμικό μπορεί να κάνει, επιτρέποντάς σας να επιβεβαιώσετε ότι ένα πρόγραμμα κτίσθηκε, χωρίς καμία αλλοίωση, από τον συγκεκριμένο πηγαίο κώδικα τον οποίο πραγματικά μπορείτε να δείτε.

Πηγή άρθρου: http://www.pcworld.com/article/2983016/software/how-debian-and-other-open-source-projects-are-making-software-more-trustworthy.html

Leave a Comment