Как обеспечить безопасность сборки ПО: управляем внешними зависимостями

[jsirex]

https://reproducible-builds.org/

https://guix.gnu.org/

[Protos]

Не очень понимаю отличие H и G. Поясните?

[L1-1on]

Привет!

Можно различать так: 

Если у нас есть некоторый пакет, который мы используем в качестве зависимости, то

• G - когда в пакет в оригинальном репозитории (или в зеркало репозитория) добавляется вредоносный код (пример: https://theupdateframework.io/papers/attacks-on-package-managers-ccs2008.pdf); 

• H - когда атакующий может загрузить вредоносный пакет с похожим именем на оригинальный в репозиторий - например, используется опечатка в названии или очень похожее имя (https://blog.sonatype.com/damaging-linux-mac-malware-bundled-within-browserify-npm-brandjack-attempt).