Az Arch Linux mostantól bitről bitre reprodukálható Docker image-et is kínál. Ezzel a reprodukálható build-ekre irányuló kezdeményezését a konténerekre is kiterjeszti, hasonlóan ahhoz, amit korábban a WSL image-nél elértek. Az új image külön

repro

tag alatt érhető el, és nem váltja le a standard Arch Linux konténer image-et.

Akiknek ismeretlen a kifejezés: a reprodukálható image ugyanabból a forrásból újra felépíthető úgy, hogy az eredmény bájtról bájtra azonos legyen. Az Arch esetében ez azt jelenti, hogy az ismételt build-ek ugyanazt az image digestet adják. A projekt ezt a

diffoci

segítségével ellenőrzi, ami OCI konténer image-ek összehasonlítására szolgáló eszköz.

Röviden: a lényeg a biztonság. A reprodukálhatóság lehetővé teszi, hogy a felhasználók ellenőrizzék: a közzétett konténer image megegyezik a forrásával és a build folyamattal, ami javítja az ellátási lánc átláthatóságát. Ha független újraépítések is azonos eredményt adnak, kisebb az esélye a rejtett eltéréseknek.

A jelenlegi megvalósításnak ugyanakkor van egy fontos korlátja. A reprodukálhatóság fenntartásához az Arch eltávolítja a pacman kulcsokat, ezért a pacman nem használható azonnal. A felhasználóknak kézzel kell újragenerálniuk a keyringet: csomagok frissítése vagy telepítése előtt futtassák a

pacman-key --init && pacman-key --populate archlinux

parancsot. Az Arch a külön

repro

taget első mérföldkőnek tekinti, miközben jobb megoldást keres.

A bejelentés szerint a Docker-specifikus változtatások közé tartozik a

SOURCE_DATE_EPOCH

beállítása, ennek alkalmazása az OCI image létrehozási labeljén, az ldconfig kiegészítő cache fájl eltávolítása a nem determinizmus megszüntetéséhez, valamint az időbélyegek normalizálása a Docker és a Podman build-ek során.

További részletekért nézd meg a bejelentést.