Создан набор инструментов для проверки исходников Debian на целостность

Разработчики Debian анонсировали выход debaudit — комплекта специализированных инструментов и сервисов, ориентированных на проверку целостности и воспроизводимости исходных пакетов операционной системы. Данный набор призван укрепить безопасность цепочки поставок ПО, используемого для сборки бинарных пакетов Debian.

Debaudit состоит из трёх ключевых компонентов: upstream2orig, git2dsc и git2orig. Компонент upstream2orig проверяет совпадение архива upstream, найденного в Debian, с исходным кодом из исходного проекта. git2dsc служит для проверки соответствия исходных пакетов из репозитория Vcs-Git исходным пакетам в архиве Debian. git2orig контролирует, чтобы исходный tar-архив, созданный из репозитория, полностью совпадал с оригинальным архивом в репозитории Debian.

На официальном сайте проекта debaudit.debian.net подчёркивается, что обеспечение прозрачности и соответствия исходного кода Debian исходным репозиториям и архивам является фундаментальным элементом безопасности ПО и воспроизводимых сборок. Это критично для исключения возможности злоумышленных изменений в процессе упаковки и распространения программного обеспечения.

Стоит отметить, что релиз Debian 13.4, выпущенный недавно, включает обновления множества пакетов и исправления более ста ошибок, а также добавление 67 патчей безопасности. В числе обновлённых компонентов — ядро Linux 6.12.73 LTS, среды рабочего стола GNOME 48, KDE Plasma 6.3.6 и другие. Кроме того, обновлением затронуты популярные программные пакеты, такие как glibc, Chromium, FFmpeg, Thunderbird и многие другие.

Внедрение debaudit служит важным шагом на пути повышения надёжности и защищённости дистрибутива Debian, что особенно актуально в условиях растущих требований к безопасности и прозрачности управления исходным кодом в мирах свободного и открытого программного обеспечения.