Debian发布团队近日宣布，自5月9日起，在“Forky”（Debian 14）开发周期中，迁移软件将强制要求所有包通过可复现性检查，未通过者将被禁止进入测试分支。若测试分支中的现有包后续出现可复现性问题，同样会被阻止更新。该消息由发布团队成员Paul Gevers在debian-devel-announce邮件列表中公布。

什么是可复现构建？

可复现构建并非高深概念，其核心是确保同一源代码在相同环境下每次编译都能生成完全相同的二进制文件。理论上，这应是软件构建的默认行为，但实践中常因细微差异导致二进制文件不同。

问题往往源于看似无关的细节：二进制文件中嵌入的时间戳、动态生成的构建ID，或文件系统写入顺序的差异。这些因素虽不改变软件功能，却导致两次构建的文件内容不一致。

这种差异存在安全隐患：若二进制文件无需与源码匹配，恶意代码可能在构建阶段被植入，而无需修改源码。可复现构建则切断了这一风险——任何人都能独立重建包，并验证其与Debian实际发布的版本是否一致。

Debian与Reproducible Builds项目合作多年，持续推动可复现性提升。在reproduce.debian.net平台的支持下，“Forky”周期中已持续进行重建并跟踪结果。

这一举措意味着什么？

当前，“Forky”分支中98.29%的架构无关包已实现可复现，其中23,731个通过检查，仍有414个包因不可复现被标记为“不合格”。随着强制要求的实施，这一数字将持续下降。

对用户而言，这意味着安装的Debian软件更可靠，无需担心源码与二进制文件存在差异。你无需怀疑构建过程中是否被篡改，因为可复现性提供了明确验证途径。

这种验证不仅限于Debian自身基础设施——独立重建者也能进行验证，这正是可复现构建的核心价值。

对维护者来说，需确保包的可复现性。若因反向依赖的autopkgtest回归测试导致包被阻止，维护者需提交相应的关键bug报告。

---

关注微信号：智享开源 ，可及时获取信息

原文链接：https://feed.itsfoss.com/link/24361/17338477/debian-makes-reproducible-builds-mandatory

投稿作者	作者网站

---

请支持IMCN发展！

谁在捐赠

微信捐赠	支付宝捐赠