可复制构建-一组软件开发实践，创建从源代码到二进制代码的独立可验证路径

可复制版本是一套软件开发从源创建独立可验证路径的实践到二进制代码。(更多)

为什么这很重要？

虽然任何人都可以检查自由开源软件的源代码对于恶意缺陷，大多数软件都是预先编译的，没有方法来确认它们是否对应。

这刺激了对发布软件的开发人员的攻击，而不仅仅是通过传统剥削，也以政治影响力的形式，勒索甚至暴力威胁。

这是开发人员在隐私或安全软件：攻击这些通常会导致妥协特别是政治敏感目标，如持不同政见者、记者告密者，以及任何希望安全通信的人专制政权。

虽然个人开发人员是一个自然的目标，但它鼓励攻击建筑基础设施，因为成功的攻击将提供对大量下游计算机系统的访问。由在这里修改生成的二进制文件，而不是修改上游源代码，非法更改对其原始版本基本上是不可见的作者和用户都一样。

背后的动机可复制版本因此，该项目旨在允许验证没有引入漏洞或后门在此编译过程中。通过承诺相同的结果总是从给定来源生成，这允许多个第三方就“正确”结果达成共识，突出任何可疑偏差值得仔细研究。

如果开发人员或构建系统受到损害，则可以注意到这种能力然后首先防止此类威胁或攻击的发生妥协可以很快被发现。因此，一线员工不能威胁/胁迫剥削或揭露他们的同事。

几个自由软件项目已经，或不久将提供可复制的构建。

首先建造系统需要完全确定：转换给定的源必须始终创建相同的结果。例如，不得记录当前日期和时间，必须始终输出以相同的顺序书写。

第二，用于执行构建的工具集，更常见的是构建环境应记录或预定义。

第三，应该为用户提供重新创建足够接近的构建的方法环境，执行构建过程，以及验证输出与原始版本匹配。

我们很自豪赞助商: