<!DOCTYPE html><html><head><title></title></head><body><div>On Wed, Oct 1, 2025, at 13:45, kpcyrd wrote:</div><blockquote type="cite" id="qt" style=""><div>On 9/29/25 3:28 PM, Arnout Engelen via rb-general wrote:</div><div>> Do you agree with the comments above? Are there any changes you'd like to see, or additional comments you think would be valuable to relay in the context of reproducible builds? The timeline is relatively strict: if we can get rough consensus before, say, Wednesday, I think we could respond "as the Reproducible Builds project".</div><div><br></div><div>It's really close to "until Wednesday" already</div></blockquote><div><br></div><div><div>Yeah, I meant to share all this much earlier, but 'life happened'. Luckily the 'upstream' deadline is Friday, so we have *some* time :)</div><div><br></div><div>As Holger mentioned it's perhaps a bit too short notice to arrive at a 'Position of the Reproducible Builds project', but perhaps we can comment with something like:</div><div><br></div><div>==</div><div>This document summarizes the position of <span class="color" style="color:rgb(27, 29, 34);">from various project representatives in the R-B project</span>, namely:</div><ul><li>(...)</li><li>Arnout Engelen for Reproducible Builds in the NixOS project</li><li>(...)</li></ul><div>==</div><div><br></div><div>Let's say if we can get to '3' I'll post the comment?</div><div><br></div></div><blockquote type="cite" id="qt" style=""><div>in my opinion a missed opportunity in the original SBOM standard was:<br></div><div>> The build tools/compiler are a material of your software executable</div><div><br></div><div>Knowing which exact compiler and compiler version was used is necessary </div><div>for triaging certain security issues[1], and it's also critical </div><div>information for any reproducible builds efforts.</div><div><br></div><div>At the moment this gap is filled by buildinfo files (each project having </div><div>their own):</div><div><br></div><div><a href="https://reproducible-builds.org/docs/recording/">https://reproducible-builds.org/docs/recording/</a></div></blockquote><div><br></div><div>I agree having that information can be (in)valuable. More widely, realistically I think there's SBOMs for various use cases, and how far you go in declaring 'build-time context/dependencies' depends on the use case. Perhaps we could include this as a comment on the introduced 'Generation Context' field: we could confirm there are different kinds of context, and emphasize we believe that whether/which build-time dependencies you include depends on that context. Personally, I think it's to early to 'standardize' on such a field (I don't think there's any consensus what the exact meaning would be), so I would recommend to remove this field from the current version of the doc. We could also recommend adding a line saying the context can determine whether/which build-time dependencies should be included.</div><div><br></div><blockquote type="cite" id="qt" style=""><div>Also to any CISA staff following this thread: hi! ðŸ˜º</div></blockquote><div><br></div><div>👋😃</div><div><br></div><div><br></div><div id="sig124436424"><div class="signature">-- </div><div class="signature">Arnout Engelen</div><div class="signature">Engelen Open Source</div><div class="signature"><a href="https://engelen.eu">https://engelen.eu</a></div></div><div><br></div></body></html>