Compilations reproductibles dans Debian et partout ailleurs

Intervenant(s) : Lunar (Debian)

  • Langue : Anglais
  • Niveau : Confirmé
  • Type d'événement : Conférence
  • Date : Lundi 6 juillet 2015
  • Horaire : 16h20
  • Durée : 40 minutes
  • Lieu : 202

Vidéo : https://rmll.ubicast.tv/permalink/v1253b3db528fcf0ch3p

Les logiciels libres nous donnent la possibilité de vérifier le comportement des logiciels en étudiant leurs code source. Néanmoins, lorsque nous utilisons des binaires qui nous ont été distribués, comment peut-on s’assurer qu’ils ont bien été créé à partir du code dont ils sont prétendument issus ? Rendre les compilations « déterministes » ou « reproductibles » permet à quiconque d’obtenir le même résultat, à l’octet près, afin d’empêcher des malversations difficiles à détecter.

Cela fait maintenant deux ans que l’effort a commencé au sein de Debian. Au début du printemps, les expériences ont atteint plus de 18 000 paquets sources (80%) pouvant être compilés de façon reproductible. De nombreux problèmes ont pu être identifiés et corrigés par l’équipe qui s’est constituée autour de projet. Il reste néanmoins beaucoup à faire dans Debian… et plus largement dans le monde du logiciel libre.

Lunar
Lunar a fait ses premiers pas dans la télécommunication avec un minitel à l’âge de 10 ans, et n’a jamais arrêté de bricoler des projets de serveurs depuis. Il porte un regard profondément critique sur l’impact social du monde numérique. Cela ne l’empêche pas de persister à voir entre les mailles du filet de la surveillance informatique des possibilités de prises de pouvoir collectives. Utilisateur de Debian depuis 2002, il est devenu officiellement développeur en 2007. Les compilations reproductibles constituent l’essentiel de ses contributions actuelles au projet. Il continue aussi à maintenir plusieurs paquets liés au projet Tor auquel il participe également.

Slides
Slides (PDF - 2.6 Mo)