Auf halbem Weg in der Entwicklung zu Debian 14 »Forky« treffen die Entwickler des Debian Release Teams eine wichtige Entscheidung und vollziehen damit einen großen Schritt gegen Supply‑Chain‑Angriffe und zur Erhöhung der Transparenz im Debian-Ökosystem. Ab sofort müssen neue Pakete, die in die Repositories aufgenommen werden, reproduzierbar gebaut werden können. Pakete, die diese Eigenschaft nicht besitzen, werden blockiert. Nicht reproduzierbare Pakete im Testing-Zweig ereilt das gleiche Schicksal. Debian 14.0 wird somit die erste stabile Version sein, die im Rahmen dieser neuen Vorgaben erscheint.
Was bedeutet reproduzierbar?
Seit 2015 betreibt Debian das Projekt Reproducible Builds. Der Anwender von Paketen aus den Debian Repositories soll zu Hause überprüfen können, ob ein Paket Bit für Bit dem zugrundeliegenden Quellcode entspricht, was die Sicherheit der Software-Lieferkette weiter verbessert. Als Endziel schwebte den Entwicklern bei Projektbeginn vor, dass sich nicht nur alle Pakete reproduzierbar bauen lassen, sondern auch die dafür eigens erstellten Werkzeuge einen Weg in die Debian-Infrastruktur finden, um auch künftig Reproduzierbarkeit zu gewährleisten. Dieser Punkt scheint nun erreicht. Wer mehr zu den Hintergründen erfahren möchte, kann meinen Artikel aus dem LinuxUser von 2016 lesen.
Nicht nur Debian
Neben Debian betreiben auch andere Distributionen und Projekte die Reproduzierbarkeit von Binärpaketen voran, unter anderem Arch Linux, openSUSE, Fedora, Alpine, NixOS, Qubes OS, Tails und Guix. Ähnliche Initiativen finden sich auch in der BSD-Welt (NetBSD, FreeBSD) sowie bei Projekten wie Flathub, Coreboot, OpenWRT und F‑Droid. Die Initiative wird sowohl vom Open Technology Fund als auch vom Sovereign Tech Fund unterstützt. Die Fortschritte des Projekts sind aus den monatlichen Reports ersichtlich.
Definition
Der Begriff Reproducible Builds wird oft leicht unterschiedlich benutzt. In der engen Reproducible-Builds-Definition, der Debian folgt, geht es um bitidentische Artefakte aus denselben Quellen, derselben Build-Umgebung und denselben Build-Anweisungen. Die Rate der dementsprechend reproduzierbaren Quellpakete liegt bei Debian je nach Suite und Architektur bei rund 97 %. Das Reproducible-openSUSE Projekt (RBOS) ist ein experimenteller Fork von openSUSE, der bereits im Februar 2025 erfolgreich 100 % bitidentische Pakete erreicht hat. Die Erkenntnisse aus diesem Projekt sollen in die openSUSE Slowroll-Distribution einfließen.
