可重复构建为软件供应链安全保驾护航

原创 已于 2023-03-13 17:12:44 修改 · 538 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #运维 #openeuler #linux #操作系统

于 2023-03-01 10:43:46 首次发布

可重复构建( Reproducible Builds)是证明软件供应链安全的必要手段,2022已被纳入SupplyChainSecurityCon的topics以及微软的S2C2F(Secure Supply Chain Consumption Framework)当中,并受到了Google开源安全团队的支持赞助。OpenSSF/SLSA在软件供应链完整性与包管理最佳实践中也对可重复构建有所要求。2022年openEuler已初步建设可重复构建能力。

什么是可重复构建

对于可重复的构建,给定相同的源代码、构建环境和构建指令,任何人均可重建出Bit to Bit完全相同的指定制品。

可重复构建的目的与意义

可重复构建可以验证二进制是否被植入后门,避免潜在安全风险,从而保障二进制的质量。构建环境和构建工程能够被还原,使依赖变化范围最小化、测试最小化,方便问题定位、提高开发效率。

通过可重复构建可以创建从代码到制品的可独立验证路径,结合已有的代码发布签名、软件仓库签名、安全启动等技术,使开源代码从生产到使用的全过程可追溯成为可能。

构建差异产生的原因

在代码构建期间,从源代码到产品发布的二进制包,中间每一个步骤、每一个构建工具都有可能引入二进制差异,而这些差异经过逐步放大,导致最终发布的二进制包每次编译都不相同,而且差异非常巨大。

可重复构建为软件供应链安全保驾护航_操作系统

二进制差异案例(差异放大)

导致构建差异的因素有很多,包含环境、时间戳、随机数、文件乱序等等,这些差异都是在构建过程中生成的。数字签名可以证明源码和二进制的唯一性,但是无法证明源码与二进制之间对应关系的一致性。证明源码与二进制一致性的工作量非常大、技术难度高。例如下图在各编译过程中可能会产生差异的因素:

可重复构建为软件供应链安全保驾护航_操作系统_02

最低0.47元/天 解锁文章
4 个可重现的构建
Jarvis的博客
08-28 394
4 个可重现的构建 目录 4 个可重现的构建 4.1我们如何定义它 4.2为什么重要 4.1我们如何定义它 Yocto 项目将再现性定义为给定的输入构建配置将给出相同的二进制输出,无论何时构建(现在或 5 年后),无论构建运行的文件系统上的路径如何,也无论运行构建的底层主机系统上的发行版和工具。 4.2为什么重要 该项目与Reproducible Builds项目保持一致,该项目分享了有关为什么可重复性很重要的信息。该项目的主要重点是检测引入的安全问题的能力。但是,从 Yoct
Sonatype发布10周年《软件供应链安全现状》
最新发布
软件供应链安全选型指南
07-09 732
凭借多年技术攻关首创专利级代码疫苗技术和下一代积极防御框架,通过“多模态SCA+DevSecOps+SBOM情报预警”的第四代DevSecOps数字供应链安全管理体系,提供敏捷安全全栈闭环产品和软件供应链安全组件化服务,协助行业用户建立DevSecOps CI/CD黄金管道,利用关键技术(IAST交互式应用安全测试、SCA第三方组件成分分析、RASP运行时应用自保护等)实现CI/CD工具链自动化,通过识别漏洞,实现漏洞信息统一规范性命名与标准化描述,及时修复漏洞为业务保驾护航
EulerMaker & Yocto & Open Build Service
天道酬勤
06-04 2144
EulerMaker & Yocto & Open Build Service 服务器领域的 OBS、嵌入式领域的 Bitbake【Yocto】,是各自领域的代表性构建系统,历史悠久。而 Euler系统领域 后来者 EulerMaker 想实现全场景统一构建系统。
“多重人格”的操作系统——openEuler
2201_75642955的博客
02-06 5022
看到标题你可能会好奇,一个操作系统,为什么会具有“多重人格”,“openEuler”又是一个什么样的操作系统,还有“多重人格”到底指的是什么。本文的目的就旨在解答以上你心中所想的三个问题,希望读者能从中得到一些知识,一些感悟。
reproducible-build-maven-plugin:一个简单的Maven插件,可以使您的构建按字节复制
02-03
可复制的构建Maven插件 一个Maven插件,可让您的构建按字节复制。 cf. 另请参见 ,该脚本可下载给定版本的Maven和JDK并使用它们运行构建。 该脚本有助于修复不可复制性,而该不可复制性是可复制生成aven插件无法解决的。 要求 Java 8或更高版本 Maven 3.0.0或更高版本 如何编译 要编译项目并运行其集成测试: mvn clean install -Prun-its
reproducible-builds:修补程序,可重现各种FLOSS软件的构建
05-19
关于 该存储库应包含可重现各种FLOSS软件的补丁程序 链接 与可复制的构建有关(并非全部用于上游)
腾讯发布智能门锁安全规范,为物联网生态安全保驾护航.pdf
09-18
智能门锁厂商、供应链合作伙伴、安全研究机构、安全服务提供商以及最终用户都应共同参与,确保安全规范得到有效实施,保障物联网生态的安全。 通过这些努力,智能门锁和其他物联网设备可以提供更为安全可靠的服务,...
供应链金融系统-强大的供应链风控体系为金融平台保驾护航
weixin_46595367的博客
11-16 8929
一、供应链金融系统-服务对象 1、供应商 :供应商一般是上游的生产加工企业。依靠贸易产生的应收账款,同时核心企业进行背书,可以进行保理、票据撮合交易等业务。帮助供应商提前获取交易资金。 2、核心企业 :核心企业可以是:贸易公司、电商平台、垂直行业细分等领域。依托核心企业的信誉,为供应链的上游下游提供融资和担保服务。帮助链属快速融资,优化供应链体系。 3、经销商 :经销商一般是下游的:销售商,电商卖家,物流运输等企业。 通过贸易订单、真的交易数据、存货抵押等手段,获得授信资金。 帮助经销商获得订货资金,增强贸
软件智能为成功打造自主云保驾护航
03-03
### 软件智能为成功打造自主云保驾护航 在当今高度数字化的世界中,软件智能扮演着至关重要的角色,尤其在企业构建自主云的过程中更是如此。本文将深入探讨软件智能如何帮助企业成功打造自主云,并通过一系列案例来...
reproducible-builds:确保构建的可重现性
gitblog_01027的博客
03-29 527
reproducible-builds:确保构建的可重现性 项目介绍 DotNet.ReproducibleBuilds 是一个开源项目,旨在为 .NET 开发者提供构建可重现性的最佳实践和工具。该项目的核心是确保在不同的开发环境和构建系统中,相同的源代码能够产生完全相同的构建结果。这对于团队协作、自动化构建、持续集成和部署至关重要。 项目技术分析 DotNet.ReproducibleBuild...
reproducible-builds-aosp:由外部方(SOAP)构建的简单,自以为是的AOSP
03-20
由外部方(SOAP)构建的简单,自以为是的AOSP 该项目旨在以可复制的方式构建AOSP,并识别与Google提供的参考构建之间的差异。作为参考构建,我们打算跟踪以下内容的选择: Google的手机 提供的通用系统映像 该项目使更广泛的Android社区以及任何感兴趣的第三方能够跟踪AOSP与Google官方内部版本之间的差异。此外,它可以作为未来更改的基础,从而提高Android的可重复性。 使用说明 根据您的首选运行时环境,需要执行以下设置说明和相关的运行说明。在所有情况下,请确保您获取了的副本。 直接脚本调用 从在x86架构上运行的基于Debian的环境(至少是Debian 10或Ubuntu 18.04)开始。 通过以正确的顺序执行scripts/shared/setup下的所有脚本( 04_config-profile-for-docker.sh除外)来准备构建环境。该顺序由文
openEuler 23.09 创新版本发布,基于 Linux Kernel 6.4 构建,深化全场景创新,加速AI训练推理
地球空间
10-07 1575
9 月 30 日,openEuler 23.09 创新版本正式发布。openEuler 作为一个凝聚全球开发者的创新平台,持续在多样性算力、基础技术、全场景和生态服务等方向创新,此外,人工智能的飞速发展给 openEuler 也带来了新的创新方向。openEuler 23.09 是社区最新发布的创新版,使用 EulerMaker 构建该版本的的服务器、云计算、镜像,版本代码总计 9.1 亿行,相比 openEuler 23.03,新增代码 8900 万行,
一起向未来,欧拉更精彩
m0_68092999的博客
04-16 326
一:openEuler: 面向数字基础设施的开源操作系统 二:openEuler开源社区: 一个开发者共建,共享,共治的创新平台 三:openEuler多样性计算的开源操作系统: ARM X86 SW-64 Power RISC-V LoongArch 四:openEuler市场份额达,应用广泛: 涉及政府 能源 运营商 交通 金融 互联网 五:共建欧拉生态,持续创新 表现一:云计算 嵌入式 服务器 边缘计算 多体系架构 多设...
openEuler 社区 2023 年 4 月运作报告
openEuler_的博客
05-09 2298
快来看看openEuler社区4月份发生了什么~
Arch Linux Reproducible Builds 项目推荐
gitblog_00204的博客
11-22 247
Arch Linux Reproducible Builds 项目推荐 项目基础介绍和主要编程语言 Arch Linux Reproducible Builds 是一个旨在帮助用户验证 Arch Linux 发行版中软件包的项目。该项目的主要编程语言包括 Shell 和 Makefile。Shell 脚本用于处理各种系统操作和命令行交互,而 Makefile 则用于定义构建和测试的规则。 项目核心...
【亲测免费】 OBS(开放构建服务)搭建安装指南
gitblog_06654的博客
10-29 1233
OBS(开放构建服务)搭建安装指南 【下载地址】OBS开放构建服务搭建安装指南分享 OBS,即Open Build Service,是一个开源平台,允许开发者构建和分发软件包,支持多种Linux发行版。它为软件项目提供了集中式的构建环境,大大简化了跨多个Linux发行版的软件打包和维护工作。本指南专为那些对Linux操作...
openEuler 23.03 发布,国产LINUX操作系统进入6.0内核
地球空间
04-03 1217
3 月 31 日,openEuler 23.03 创新版本正式发布。openEuler 作为一个凝聚全球开发者的创新平台,持续在多样性算力、基础技术、全场景和生态服务等方向持续创新。
Linux 驱动编译报错:error: macro "__DATE__" might prevent reproducible builds [-Werror=date-time]
SoldierJazz的专栏
07-17 7994
编译驱动时遇到这个错误提示,表示当前编译环境中将关于 DATE 以及 TIME 的警告也作为错误来进行处理的。有如下几种方法可以参考: 1. 在编译驱动的相应 Makefile 中增加一行:CFLAGS += -Wno-error=date-time,然后保存重新 make; 2. 若 CFLAGS 不生效,将关键字替换为 EXTRA_FLAGS; 3. 修改 /lib/modules/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

openEuler社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值