<div dir="auto">Please unsubscribe my email, thank you.</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Mar 24, 2022 at 9:00 PM John Gilmore <<a href="mailto:gnu@toad.com">gnu@toad.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 22/03/2022 13.46, Chris Lamb wrote:<br>
> Just wondering if anyone on this list is aware of any real-world<br>
> instances where RB practices have made a difference and flagged<br>
> something legitimately "bad"?<br>
<br>
The GNU compilers are already tested for complete reproducibility.  We<br>
at Cygnus Support built that infrastructure back in the 1990s, when we<br>
made gcc into a cross-compiler (compiling on any architecture + OS,<br>
targeting any other).  We built the Deja Gnu test harness, and some<br>
compiler/assembler/linker test suites, that rebuilt not just our own<br>
tools, but also a test suite with hundreds or thousands of programs.  We<br>
compared their binaries until they were bit-for-bit identical when built<br>
on many different host machines of different architectures.<br>
<br>
To make it work, we had to fix many bugs and misfeatures, including even<br>
some high-level design bugs, like object file formats that demanded a<br>
timestamp (we decided that 0 was a fine timestamp).  A few of those bugs<br>
involved generating different but working instruction sequences -- I<br>
recall fixing one that depended on an uninitialized local variable.<br>
<br>
We never found any malicious code in the GNU tools during that process,<br>
just poorly debugged code and unportable code.  I don't know whether<br>
that's because nobody malevolent actually knew what a lever they would<br>
have had by infesting our code, or whether we really weren't as<br>
important as we thought we were :-/.  I was still manually making and<br>
reading the diff between the previous release and each new release, to<br>
make sure that no change that I didn't recognize would slip through.  It<br>
was a pretty heady feeling to make a GNU tool release, send an email to<br>
info-gnu, and have thousands of people running it in the next few days.<br>
We took the responsibility seriously.<br>
<br>
(Caveat: We weren't shipping binaries, except to Cygnus customers.<br>
 Maliciously patched binaries are what RB is designed to prevent.)<br>
<br>
        John<br>
<br>
</blockquote></div></div>