Fedora 提议对其即将发布的版本 43 进行重大更改,旨在实现 99% 的包可重复性,解决人们对供应链安全日益增长的担忧。根据 3 月 31 日宣布的变更提案,Fedora 通过基础设施变更(包括“限制”文件修改时间和实现基于 Rust 的标准化元数据的“添加确定性”工具)已经达到了 90% 的可重复性。剩下的 10% 将需要单独的包维护人员参与,将再现性失败视为错误。这项工作将使用重建器的公共实例来独立验证可以从源代码重现二进制包。与 Debian 的逐位再现性定义不同,Fedora 允许包签名和某些元数据存在差异,同时要求相同的有效负载。该计划是在 Debian 和 openSUSE 做出类似努力之后推出的,并且是在最近的 XZ 后门事件之后对供应链安全的高度关注之际推出的。
在 Slashdot 上阅读这个故事的更多内容。