All’incirca un anno fa è apparso sul nostro portale un Saturday’s Talks intitolato “l’open-source è nulla senza la riproducibilità delle build“, all’interno del quale il nostro Giovanni analizzava un aspetto che i più ignorano, ma che nel contesto open-source ha una rilevanza strategica fondamentale: la compilazione del codice sorgente di un pacchetto dovrebbe sempre produrre lo stesso identico binario su qualsiasi sistema viene eseguita.

Un anno dopo, in un momento storico dell’informatica in cui molti si domandano cosa significhi essere open-source, in particolare quando si parla di Large Language Model, il tema non solo è ancora importante, ma è diventato più critico che mai.

Le implicazioni della riproducibilità hanno un impatto trasversale su tantissimi aspetti della quotidianità informatica: sulla manutenzione, sulla contribuzione e, soprattutto sulla sicurezza. I motivi sono ben spiegati nell’articolo citato in apertura, ma oggi tornano di attualità in seguito all’ultima pubblicazione dei bits from the release team del progetto Debian.

In una sezione dedicata, denominata “Reproducibility” vengono resi chiari gli obiettivi prossimi/futuri del progetto in materia di pacchetti:

Aided by the efforts of the Reproducible Builds project [1], we’ve decided it’s time to say that Debian must ship reproducible packages. Since yesterday, we have enabled our migration software to block migration of new packages that can’t be reproduced [2] or existing packages (in testing) that regress in reproducibility.

Grazie agli sforzi del progetto Reproducible Builds [1], abbiamo deciso che è giunto il momento di affermare che Debian deve fornire pacchetti riproducibili. Da ieri, abbiamo abilitato il nostro software di migrazione in modo che blocchi il trasferimento dei nuovi pacchetti non riproducibili [2] o dei pacchetti esistenti (in testing) che peggiorano in termini di riproducibilità.

I riferimenti indicati sono i seguenti:

• [1] è il sito https://reproducible-builds.org/ che veniva citato nell’articolo dello scorso anno.
• [2] è il sito https://reproduce.debian.net/ che il progetto Debian ha dedicato alla gestione dei pacchetti riproducibili.

Ma la sostanza del messaggio è molto semplice: non verranno più accettati pacchetti che non siano riproducibili in Debian, per l’interezza del progetto.

Quanto fondamentale si rileverà questa imposizione lo si vedrà nel tempo, ma, come dicevamo in apertura, l’aspetto della riproducibilità porta con sé alcuni impatti impliciti che oggi sono imprescindibili: sicurezza, trasparenza e affidabilità delle catene di fornitura del software.

In un’epoca di attacchi alla supply chain, i pacchetti riproducibili proteggono da compromissioni degli ambienti di compilazione e troppe sono le storie che abbiamo sentito in questo periodo (l’ultima in ordine di tempo è la catastrofe di Trivy) per far finta che il problema non esista.

Agire con delle politiche chiare e precise, come queste adottate da Debian, non potrà che fare bene all’intero ecosistema open-source.