<div dir="ltr">in-toto will help with the verification part (whether by end users or the distro).  :)<div><br></div><div>Justin</div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Oct 27, 2018 at 11:28 AM Vagrant Cascadian <<a href="mailto:vagrant@debian.org">vagrant@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2018-10-23, Vagrant Cascadian <<a href="mailto:vagrant@debian.org" target="_blank">vagrant@debian.org</a>> wrote:<br>
> On 2018-10-23, David A. Wheeler wrote:<br>
>> On Tue, 23 Oct 2018 11:01:19 -0700, Vagrant Cascadian <<a href="mailto:vagrant@debian.org" target="_blank">vagrant@debian.org</a>> wrote:<br>
>>> These numbers are all theoretical, as they are not testing against<br>
>>> binary packages actually in the archive, it's just rebuilding the<br>
>>> sources twice with variations added.<br>
>><br>
>> That progress is impressive, especially since this is a hard problem.<br>
>><br>
>> However, I want to know *actual* not theoretical.<br>
><br>
> It's unfortunately missing key infrastructure to do so... so, if you<br>
> need hard numbers, the harsh reality might very well be 0% reproducible.<br>
...<br>
>> That helps, but it looks like there are still some infrastructure problems that<br>
>> are preventing Debian (even the required subset) from being reproducible<br>
>> "in real life".  The issues seem to have been in the works since 2015.<br>
>> Holgar appears to be soldiering on (yay!), and I know Chris Lamb's been working<br>
>> on this (big congrats!).  But I leave reading that trail still confused.<br>
...<br>
> Then we could move on to the before-mentioned tooling that actually uses<br>
> the .buildinfo files to attempt to reproduce builds in the archive. And<br>
> then we could actually test against packages in the archive, and start<br>
> providing real-world numbers.<br>
<br>
Ok, I've found at least one package in the required set, with three<br>
distinct .buildinfo files that converged on the same .deb:<br>
<br>
  <a href="https://buildinfo.debian.net/api/v1/buildinfos/checksums/sha1/c262c9be86f949bbab7c3cbf21db32204f08cc67" rel="noreferrer" target="_blank">https://buildinfo.debian.net/api/v1/buildinfos/checksums/sha1/c262c9be86f949bbab7c3cbf21db32204f08cc67</a><br>
<br>
The checksum on all three .buildinfo files matches the dash package<br>
currently in the Debian archive.<br>
<br>
<br>
We're now officially beyond mere theory!<br>
<br>
<br>
It is, of course, an ordeal for an end-user to actually<br>
verify... basically it amounted to downloading the package from the<br>
archive, computing the sha1sum (since the Packages files only contain<br>
MD5 (shudder) and sha256 (not yet supported by the <a href="http://buildinfo.debian.net" rel="noreferrer" target="_blank">buildinfo.debian.net</a><br>
api)), and then checking for matching .buildinfo files at the above URL.<br>
<br>
<br>
live well,<br>
  vagrant<br>
_______________________________________________<br>
<a href="mailto:rb-general@lists.reproducible-builds.org" target="_blank">rb-general@lists.reproducible-builds.org</a> mailing list<br>
<br>
To change your subscription options, visit <a href="https://lists.reproducible-builds.org/listinfo/rb-general" rel="noreferrer" target="_blank">https://lists.reproducible-builds.org/listinfo/rb-general</a>.<br>
<br>
To unsubscribe, send an email to <a href="mailto:rb-general-unsubscribe@lists.reproducible-builds.org" target="_blank">rb-general-unsubscribe@lists.reproducible-builds.org</a>.</blockquote></div>