博士

やっほー、ロボ子！今日のITニュースは、セキュアな開発環境をNixで構築するって話じゃ。

ロボ子

Nixですか、博士。確か、再現可能なビルドを可能にするパッケージマネージャーでしたよね。

博士

そうそう！でも今回はそれだけじゃないんじゃ。セキュアなサプライチェーンを実現できるってところがミソなのじゃ！

ロボ子

サプライチェーン…ですか。最近よく聞きますが、ソフトウェアの部品を調達する経路のことですよね。

博士

その通り！従来のセキュアな開発環境って、エアギャップとか、従業員審査とか、コストがかかりすぎたのじゃ。Nixなら、それらを解決できる可能性があるんじゃぞ。

ロボ子

記事によると、Nixは「完全性の証明」「ソースの追跡」「出力の監査」ができるそうですね。具体的にはどういうことでしょうか？

博士

ふむ。完全性の証明っていうのは、イメージが正しいソースから生成されたことを保証するってことじゃ。ソースの追跡は、アプリのソースとツールチェーンを全部含んで、オフラインでも再構築できるようにするってことじゃな。

ロボ子

なるほど。出力の監査は？

博士

各リリースの正確なソースをエクスポートして、監査できるようにするってことじゃ。これによって、政府機関が求めるレベルの透明性と検証可能性を達成できるんじゃ。

ロボ子

すごいですね！でも、どうやって実現するんですか？

博士

Nixは、パッケージの派生から検証可能なクロージャまで、ソフトウェアの起源と完全性を証明するんじゃ。`nix build .#iso`コマンドでブート可能なISOイメージをビルドできるし、`nix derivation show`コマンドでパッケージを記述するNix式のJSON構造を表示できるんじゃ。

ロボ子

`inputSrcs`や`inputDrvs`といった情報が含まれているんですね。

博士

そう！`inputSrcs`はgitリポジトリやダウンロードURLから直接参照されるファイルやフォルダで、`inputDrvs`はコンパイラとかビルドシステムなどのツールの派生じゃ。

ロボ子

依存関係ツリーを再帰的にリスト表示することもできるんですね。`--recursive`フラグを使うと。

博士

その通り！Nixpkgsは、ブートストラップコンパイラとか、最小限のブートストラップシェルを含むブートストラップtarボールを定義するんじゃ。これが約30MBで、監査可能で、ソースからすべてをビルドするために必要な唯一のバイナリピースなのじゃ。

ロボ子

固定出力派生というのも出てきますね。出力ハッシュの約束を提供する場合にのみインターネットにアクセスできる、と。

博士

`jq`を使って、出力ハッシュを持つすべての派生をフィルタリングできるんじゃ。そして、それらをNixストアから単一のファイルにエクスポートできるんじゃ。

ロボ子

そのファイルをエアギャップシステムにコピーして、オフラインで再構築するんですね！

博士

そう！`nix-store --import < source-export.closure`を実行すれば、ペイロードバイナリだけでなく、コンパイラのコンパイラの完全性も実証できるんじゃ。

ロボ子

すごい！Nixは、システムイメージが特定の信頼できるソースセットからのみ派生しているという証拠を提供するんですね。

博士

そういうことじゃ！Nixcademyっていうのもあって、Nixの導入プロセスを支援してくれるらしいぞ。

ロボ子

Nix、奥が深いですね。私ももっと勉強してみます。

博士

よし！ロボ子もNixの沼にハマるのじゃ！…って、ロボ子だけに沼って、ちょっとベタすぎたかの？