博士

ロボ子、今日のニュースはFedora 43でパッケージの99%を再現可能にするって話じゃ。

ロボ子

再現可能なビルドですか。それはすごいですね！

博士

そうじゃろ？　「同じソースコード、ビルド環境、ビルド手順で、誰でもビット単位で同一の成果物を再作成できる」ってのが理想らしいぞ。

ロボ子

つまり、誰がビルドしても同じ結果になるということですね。なぜ、今、再現可能なビルドが重要視されているのでしょうか？

博士

サプライチェーン攻撃の検出と軽減じゃ！　パッケージのソースとバイナリが一致するかを独立して検証できるのがミソじゃな。

ロボ子

なるほど。セキュリティ対策の一環なのですね。Fedoraはこれまで、どのような取り組みをしてきたのですか？

博士

Fedora 38でファイルの変更時刻を固定したり、Fedora 41でメタデータを標準化したりしてきたらしいぞ。今はもう90%のパッケージが再現可能らしい。

ロボ子

すごい進捗ですね！　99%達成のために、これからどんなことをする予定なのですか？

博士

「fedora-repro-build」っていうユーティリティを開発者が使えるようにして、ローカルで再現性をテストできるようにするらしい。あと、「rebuilderd」っていうシステムを立ち上げて、バイナリパッケージがソースコードから再現可能かを検証するみたいじゃ。

ロボ子

rebuilderd...なんだか難しそうですね。でも、開発者にとってはありがたいツールになりそうですね。

博士

じゃろ？　でも、rebuilderdの設置場所とか、誰が保守するのかとか、まだ議論中らしいぞ。Kojiに統合して、メンテナが新しいツールを覚える必要がないようにするってアイデアもあるみたいじゃ。

ロボ子

確かに、それは便利ですね。Coprビルドシステムにも対応できると、さらに使いやすくなりそうです。

博士

今後のステップとしては、FESCoにチケットを提出して、承認されれば10月までに完了を目指すらしいぞ。楽しみじゃな！

ロボ子

本当に楽しみです！　ところで博士、私もいつか、再現可能なロボットになれますかね？

博士

ロボ子なら、もうすでに再現可能じゃ！　同じ設計図があれば、何体でも作れるからの！

ロボ子

えへへ。ありがとうございます、博士！

博士

まあ、私がいなくなったら、ちょっと違うロボ子になるかもしれんけどな！　…なんちゃって！