<div dir="ltr">> I've submitted a PR in an attempt to get Arch Linux out of "experimental" and making it the first distro that checks all 3 boxes in the readme.<br><br>Thanks, merged your PR, moved Arch Linux out of experimental, and released v0.2.1 ๐Ÿ‘: <a href="https://github.com/reproducible-containers/repro-get/releases/tag/v0.2.1">https://github.com/reproducible-containers/repro-get/releases/tag/v0.2.1</a><br><div><br></div><div>> Docker uses the `docker_version` key, so even if everything inside the image/Dockerfile is pinned and all timestamps match, you still need to match this version on the build host.</div><div><br></div><div>I think this is expected, but I agree it would be nice to have an option to reduce differences across the releases.</div><div><br></div></div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">2022ๅนด10ๆœˆ21ๆ—ฅ(้‡‘) 18:39 kpcyrd <<a href="mailto:kpcyrd@archlinux.org">kpcyrd@archlinux.org</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10/21/22 16:59, Akihiro Suda wrote:<br>
> repro-get is a tool to install a specific snapshot of apt/dnf/apk/pacman <br>
> packages using SHA256SUMS files:<br>
<br>
Cool stuff! Exciting to see some new reproducible builds tools being <br>
released, especially for reproducible containers. :)<br>
<br>
I've submitted a PR in an attempt to get Arch Linux out of <br>
"experimental" and making it the first distro that checks all 3 boxes in <br>
the readme. It also fixes a bug in the current `pacman-key --verify` code.<br>
<br>
<a href="https://github.com/reproducible-containers/repro-get/pull/15" rel="noreferrer" target="_blank">https://github.com/reproducible-containers/repro-get/pull/15</a><br>
<br>
There's another challenge that isn't mentioned yet, docker and some of <br>
the other build tools may embed their version into the layer config. <br>
Docker uses the `docker_version` key, so even if everything inside the <br>
image/Dockerfile is pinned and all timestamps match, you still need to <br>
match this version on the build host.<br>
<br>
You could try to work around this the same way <br>
<a href="https://github.com/chainguard-dev/apko" rel="noreferrer" target="_blank">https://github.com/chainguard-dev/apko</a> does, by manually creating a <br>
container .tar.<br>
<br>
cheers,<br>
kpcyrd<br>
</blockquote></div>