Nguồn: antiz.fr
Tóm tắt
Arch Linux đã đạt được một cột mốc quan trọng trong nỗ lực reproducible builds: Docker image của distro này nay có thể tái tạo bit-for-bit giống hệt nhau qua các lần build khác nhau. Đây là bước tiếp theo sau khi WSL image của Arch đã đạt reproducibility vài tháng trước.
Image reproducible được phân phối dưới tag repro trên Docker Hub, với một lưu ý quan trọng: pacman keys phải được loại bỏ khỏi image để đảm bảo tính deterministic, nên người dùng cần chạy pacman-key --init && pacman-key --populate archlinux trước khi dùng pacman. Đây là giải pháp tạm thời trong khi team Arch tìm cách giải quyết constraint kỹ thuật này.
Các thay đổi kỹ thuật để đạt reproducibility bao gồm: set SOURCE_DATE_EPOCH và đưa nó vào OCI label org.opencontainers.image.created; xóa file ldconfig auxiliary cache (nguồn non-determinism); và normalize timestamps trong quá trình docker build/podman build bằng option --source-date-epoch và --rewrite-timestamp. Tính reproducible được xác nhận qua digest equality và tool diffoci.
Reproducible builds là một thuộc tính quan trọng về bảo mật: nó cho phép bất kỳ ai cũng có thể tự build lại image từ source và verify rằng binary artifact khớp chính xác với source code — giúp phát hiện supply chain attacks và đảm bảo tính toàn vẹn của phần mềm.