Article

Debian: Reproduzierbare Pakete sind jetzt Pflicht

debian linux security reproducible-builds supply-chain

Debian hat einen Meilenstein gesetzt: Pakete, die sich nicht reproduzierbar bauen lassen, werden nicht mehr nach Testing migriert. Supply-Chain-Security als Commitment, nicht als Option.

Was bedeutet reproduzierbar?

Ein Build ist reproduzierbar, wenn derselbe Quellcode auf verschiedenen Maschinen zu identischen Binärdateien führt. Das klingt banal, ist aber technisch anspruchsvoll:

  • Timestamps verhindern Reproduzierbarkeit
  • Zufällige Build-IDs in Binaries
  • Unterschiedliche Compiler-Versionen produzieren verschiedene Binaries

Debian hat jahrelang an diesem Problem gearbeitet, unterstützt durch das Reproducible Builds Project.

Die neue Regel

Seit gestern blockiert Debians Migration-Software:

  • Neue Pakete, die nicht reproduzierbar sind
  • Bestehende Pakete, die in der Reproduzierbarkeit regredieren

Das gilt für die Migration von Unstable nach Testing. Wer ein Paket hochlädt, muss sicherstellen, dass es reproduzierbar bleibt.

Warum ist das wichtig?

Supply-Chain-Sicherheit

Wenn ein Angreifer einen Build-Server kompromittiert und bösartigen Code in ein Binary einschleust, ist das ohne Reproduzierbarkeit nicht erkennbar. Der Quellcode bleibt sauber, das Binary ist infiziert.

Mit reproduzierbaren Builds kann jeder verifizieren: Mein lokaler Build identisch zum offiziellen Binary = Vertrauen.

Transparency & Auditability

Sicherheitsforscher können Binaries nachbauen und vergleichen. Abweichungen sind ein Warnsignal. Das passt zu Debians Philosophie von offenen, auditierbaren Systemen.

Was müssen Maintainer tun?

  1. Reproducible Builds README lesen: https://reproducible-builds.org/
  2. Lokal testen: reproduce.debian.net bietet Tests
  3. Build-Determinismus sicherstellen: Timeless Builds, deterministische Ordering

Parallel: Neues loong64 Architecture

Debian hat auch die neue loong64-Architektur ins Archiv aufgenommen. Die Builds laufen auf den buildds und müssen ebenso reproduzierbar sein.

Fazit

Ein “kleiner Schritt im Code, ein großer Schritt im Commitment” – wie Debian schreibt. Reproduzierbare Builds sind kein Nice-to-have mehr. Für Package-Maintainer ändert sich der Workflow, für Nutzer und die Supply-Chain-Sicherheit ist es ein klarer Gewinn.

Original: Debian Devel-Announce