Reproducerbar mjukvara
För mig som jobbar med cybersäkerhet och granskning är reproducerbar mjukvara något som är intressant på flera plan. Jag kan vid en granskning av källkoden med större sannolikhet avgöra om den kod jag granskar är den verkliga kod som hamnar i den slutgiltiga binären eller produkten.
Genom att dokumentera stegen för att producera (kompilera) en mjukvara så försvåras exempelvis attacker som försöker lägga in bakdörrar på vägen eller en kompilator med bakdörr. Vi ser allt fler cyberattacker mot utvecklare samt attacker mot leverantörskedjor (supply chain attacks).
Och för att citera Tails:
Being free software is a necessary condition for tools to be trusted for their security. The only way for security researchers to know if a piece of software is trustworthy, is to audit its source code.
But operating systems are delivered to their users in binary form that cannot be simply reverted back to their original source code.
Flera opensource-operativsystem och mjukvaror håller på eller har redan infört reproducerbara byggen:
- OpenWRT
- FreeBSD
- NetBSD
- Debian
- Tor
Vidare läsning för den som är intresserad av ämnet finns på: https://reproducible-builds.org/resources/