se alguém quiser reproduzir minha build, só usar as mesmas USE flags que eu, a grosso modo
Mas há algum sistema de comparar os hashes de seus binários com os de outros utilizadores, mesmo que apenas aqueles que usam as mesmas build flags?
Se eu desconfiar (ou quiser confirmar) a autenticidade dum binário debian ou redhat, por exemplo, basta descarregar o pacote dum mirror e comparar os hashes.
Como poderia ser feito num sistema gentoo? Mesmo com as mesmas build flags, não resultam comilações ligeiramente diferentes dependendo do hardware, por exemplo?
Agora que falei em comparação de hashes, parece-me que seria um serviço interessante, disponibilizar os hashes oficiais num site, com alguma API, utilizável por alguma ferramenta como o tripwire para comparação online.
Mas há algum sistema de comparar os hashes de seus binários com os de outros utilizadores, mesmo que apenas aqueles que usam as mesmas build flags?
Se eu desconfiar (ou quiser confirmar) a autenticidade dum binário debian ou redhat, por exemplo, basta descarregar o pacote dum mirror e comparar os hashes.
Como poderia ser feito num sistema gentoo? Mesmo com as mesmas build flags, não resultam comilações ligeiramente diferentes dependendo do hardware, por exemplo?
ah, boa pergunta, não tenho certeza não, mas achei esse artigo da wiki do gentoo sobre: https://wiki.gentoo.org/wiki/User:OstCollector/Reproducible_Build
Eu nunca tinha pensando nisso na real sksk
Agora que falei em comparação de hashes, parece-me que seria um serviço interessante, disponibilizar os hashes oficiais num site, com alguma API, utilizável por alguma ferramenta como o tripwire para comparação online.