2026年5月可重复构建进展报告 **欢迎阅读我们的每月更新！** 本期将汇报 [可重复构建](https://reproducible-builds.org/) 项目在2026年5月的最新进展。如您有意参与贡献，请访问我们的 [贡献指南](https://reproducible-builds.org/contribute/) 页面，或通过 `#reproducible-builds` IRC 频道（位于 [irc.oftc.net](https://www.oftc.net/)）与我们取得联系。 --- ## 本月动态 ### 新闻与媒体报道 ... ### 发行版进展 ... ### 软件项目进展 ... ### 社区活动 ... --- *如需了解更多信息，欢迎访问 [reproducible-builds.org](https://reproducible-builds.org/)。*

# 2026年5月可重复构建月报 — reproducible-builds.org 来源：https://reproducible-builds.org/reports/2026-05/ [](https://reproducible-builds.org/) **欢迎阅读[可重复构建项目](https://reproducible-builds.org/)2026年5月月报。** 这些报告概述了我们过去一个月所做的工作，并重点介绍软件供应链安全这一日益重要领域的相关新闻动态。如您有兴趣为可重复构建项目做出贡献，请访问我们网站上的[贡献](https://reproducible-builds.org/contribute/)页面。 本月报告涵盖以下内容： 1. [Debian 将在 *forky* 及后续版本中发布可重复构建的软件包](https://reproducible-builds.org/reports/2026-05/#debian-to-ship-reproducible-packages-in-forky-and-beyond) 2. [Holger Levsen 谈重新构建 Debian 官方软件包](https://reproducible-builds.org/reports/2026-05/#holger-levsen-on-reproducing-official-debian-packages) 3. [2026 年可重复构建峰会将在瑞典哥德堡举办](https://reproducible-builds.org/reports/2026-05/#reproducible-builds-2026-summit-to-be-held-in-gothenburg-sweden) 4. [*Kettle：面向可验证软件的已认证构建*](https://reproducible-builds.org/reports/2026-05/#kettle-attested-builds-for-verifiable-software) 5. [发布新版 *rebuilderd*](https://reproducible-builds.org/reports/2026-05/#new-rebuilderd-version-announced) 6. [可重复构建的开源即时通讯软件](https://reproducible-builds.org/reports/2026-05/#reproducible-open-source-messengers) 7. [发行版相关工作](https://reproducible-builds.org/reports/2026-05/#distribution-work) 8. [其他新闻](https://reproducible-builds.org/reports/2026-05/#misc-news) 9. [补丁](https://reproducible-builds.org/reports/2026-05/#patches) 10. [文档更新](https://reproducible-builds.org/reports/2026-05/#documentation-updates) --- ### Debian 将在 *forky* 及后续版本中发布可重复构建的软件包 [](https://lists.debian.org/debian-devel-announce/2026/05/msg00001.html) 在 Debian 可重复构建政策方面发生了重大变化：[Debian 发布团队宣布](https://lists.debian.org/debian-devel-announce/2026/05/msg00001.html)： > ……我们决定是时候明确表态：**Debian 必须发布可重复构建的软件包**。从昨天起，我们已启用迁移软件，阻止无法在 [*reproduce.debian.net*](https://reproduce.debian.net/) 上重现的新软件包迁移，以及阻止 *testing* 中在可重复性方面出现退步的现有软件包迁移。 也就是说，如果新上传的软件包不可重复构建，则不会被列为下一个 Debian 稳定版（代号 *forky*）的候选软件包。（部分例外情况[可能会被批准](https://lists.debian.org/debian-devel/2026/05/msg00383.html)。） 这一消息在各大新闻媒体引发了多篇报道和评论： - Linux Weekly News（LWN）：[*Debian 将要求可重复构建*](https://lwn.net/Articles/1072314/) - Phoronix：[*Debian 发布团队：Debian 现在必须发布可重复构建的软件包*](https://www.phoronix.com/news/Debian-Must-Ship-Reproducible) - The Register：[*Debian 14 开始严格管控不可重复构建的软件包*](https://www.theregister.com/oses/2026/05/11/debian-14-cracks-down-on-unreproducible-packages/5238094) - LinuxSecurity.com：[*Debian 14 将可重复构建设为 Linux 软件包的强制要求*](https://linuxsecurity.com/features/debian-reproducible-builds) - Heise.de：[*Debian 来真格了：仅允许可重复构建的软件包进入"testing"*](https://www.heise.de/news/Debian-14-Reproduzierbare-Builds-werden-zur-Pflicht-11289259.html) ### Holger Levsen 谈重新构建 Debian 官方软件包 可重复构建项目开发者 Holger Levsen 在今年的 [2026 年汉堡 MiniDebconf](https://hamburg2026.mini.debconf.org/) 上发表了题为 [*reproduce.debian.net——重新构建 ftp.d.o 所分发的内容*](https://hamburg2026.mini.debconf.org/talks/13-reproducedebiannet-reproducing-what-is-distributed-from-ftpdo/) 的演讲。 Holger 在演讲中宣布 Debian 计划在 *forky* 及后续版本中仅发布可重复构建的软件包（见上文），同时更广泛地介绍了可重复构建、我们的测试框架以及 Debian 档案库的相关内容。具体而言，这意味着要从*理论层面*测试软件包是否可重复构建（例如，是否能在不同环境中两次构建出相同结果），转变为尝试重现 Debian 官方档案库中实际发布的 `.deb` 文件。这个看似微小的区别实际上至关重要，因为只有这样才能通过可重复构建技术判断构建系统是否遭到入侵。 [](https://chuangtzu.ftp.acc.umu.se/pub/debian-meetings/2026/MiniDebConf-Hamburg/hamburg2026-37-reproducedebiannet-reproducing-what-is-distributed-from-ftpdo.av1.webm) 演讲的[视频](https://meetings-archive.debian.net/pub/debian-meetings/2026/MiniDebConf-Hamburg/hamburg2026-37-reproducedebiannet-reproducing-what-is-distributed-from-ftpdo.av1.webm)（时长 32 分 37 秒）已可在线观看，[Holger 的幻灯片](https://reproducible-builds.org/_lfs/presentations/2026-05-09-Reproducing-Debian-in-the-real-world/)也已发布。 ### 2026 年可重复构建峰会将在瑞典哥德堡举办 如[2026 年 3 月初步宣布](https://lists.reproducible-builds.org/pipermail/rb-general/2026-March/004060.html)，我们将于今年 9 月 22 日至 24 日在瑞典哥德堡举办年度可重复构建峰会 2026，随后还将有两天的黑客松活动！ 更多信息将很快在我们的网站以及 [*rb-general* 邮件列表](https://lists.reproducible-builds.org/listinfo/rb-general)上发布。 ### *Kettle：面向可验证软件的已认证构建* [](https://arxiv.org/abs/2605.08363) André Arko 和 Amean Asad 本月发表了一篇关于 [Kettle](https://github.com/lunal-dev/kettle) 的论文，Kettle 是一个"在可信执行环境中为所构建软件生成密码学可验证来源证明"的构建系统： > *Kettle* 构建会将源代码提交、依赖集、工具链、构建环境和输出产物摘要记录在一份来源文档中，该文档在经过测量的机密虚拟机（CVM）内部生成。该文档的 SHA-256 摘要被提交到 TEE 平台的证明报告数据字段，因此经硬件签名的证明报告本身即是对来源文档的签名，签名身份链追溯至 TEE 厂商的信任根，而非构建基础设施运营商。由于 CVM 镜像本身是可重复构建的，其启动度量值是公开且稳定的，这使得构建请求方可以在提交任何输入之前预先对 CVM 进行认证，并可选择通过在 CVM 内部终止的 TLS 通道传输源代码，从而使构建过程全程保密运行，宿主机始终无法以明文形式看到源代码。 论文的 [PDF 版本](https://arxiv.org/pdf/2605.08363)已可在线获取。 ### 发布新版 *rebuilderd* [](https://reproduce.debian.net/) **[rebuilderd](https://github.com/kpcyrd/rebuilderd)** 是我们用于监控 Linux 发行版官方软件包仓库并尝试重现其中构建结果的服务器，它为 *[reproduce.debian.net](https://reproduce.debian.net/)* 等平台提供支持。 本月发布了新版本 [0.27.0](https://github.com/kpcyrd/rebuilderd/releases/tag/v0.27.0)，主要变更如下： - 改进了对 `.udeb` 的支持 - 软件包同步配置存在破坏性变更 - Arch Linux 实例需要手动清理 正如 *kpcyrd* 在[发布公告](https://lists.reproducible-builds.org/pipermail/rb-general/2026-May/004115.html)中所提到的： > 新版 *rebuilderd* 软件包目前已在 `extra-testing` 仓库中提供。请注意，Arch Linux 软件包从 `v0.25.0` 直接升级至 `v0.27.0`；首次重启时请耐心等待数据库迁移完成，同时请务必了解 [v0.26.0 中的破坏性变更](https://github.com/kpcyrd/rebuilderd/releases/tag/v0.26.0)。 ### 可重复构建的开源即时通讯软件 [](https://github.com/BarbossHack/reproducible) GitHub 开发者 *BarbossHack* 正在[维护一个 GitHub 仓库/页面](https://github.com/BarbossHack/reproducible)，用于"追踪开源即时通讯软件的可重复构建状态"。 ### 发行版相关工作 [](https://debian.org/) 本月 **Debian** 方面，`loong64` 架构已被添加至 [*reproduce.debian.net*](https://loong64.reproduce.debian.net/)。这是一种由[龙芯](https://en.wikipedia.org/wiki/Loongson)开发的 64 位精简指令集计算机（RISC）指令集架构。 Vagrant Cascadian 对 Debian 中多个悬挂补丁超过一年的软件包执行了[非维护者上传](https://wiki.debian.org/NonMaintainerUpload)（NMU），涉及软件包包括 [`rocdbgapi`](https://browse.dgit.debian.org/rocdbgapi.git/commit/?id=46edda9ca57c482aff561cff7b20e074c9f0d442)、[`onevpl-intel-gpu`](https://salsa.debian.org/debian/onevpl-intel-gpu/-/commit/d361dc68bcf4bb92c192af1f20b2878fbcc297f3)、[`python-pytest-shell-utilities`](https://browse.dgit.debian.org/python-pytest-shell-utilities.git/commit/?id=326ae9029fd93ffb10a497b9fc99f8e9f62356c6)、[`python-mt-940`](https://browse.dgit.debian.org/python-mt-940.git/commit/?id=da6105767e8c7922cd279bc07da1e5f576c9e2a5) 和 [`pympress`](https://browse.dgit.debian.org/pympress.git/commit/?id=c7fbef54dd54a5fec826f4aa492a3832dfd062c9)。 在 *tests.reproducible-builds.org* 方面，Vagrant Cascadian 通过[向基础 tarball 中添加 `passwd`](https://salsa.debian.org/qa/jenkins.debian.net/-/commit/a741f156dff8dd2f2a0b6531756865c958ef7fd7) 修复了构建失败数量急剧飙升的问题，并[重新启用了使用 PGO（配置文件引导优化）和 LTO（链接时优化）构建 `gcc` 和 `binutils` 软件包](https://salsa.debian.org/qa/jenkins.debian.net/-/commit/1352171fa9f9fb9460ed0cb66befc0f65fb4f51b)，以避免给人造成可重复性的错误印象。 condor 软件包可重复性方面的[不一致问题](https://alioth-lists.debian.net/pipermail/reproducible-builds/Week-of-Mon-20260518/015547.html)被提交至 Debian *reproducible-builds* 邮件列表。经过深入排查，Vagrant Cascadian 最终[确认问题与嵌入的内核版本有关](https://alioth-lists.debian.net/pipermail/reproducible-builds/Week-of-Mon-20260518/015550.html)，该问题随后[在上游得到修复](https://github.com/htcondor/htcondor/pull/4500)，并[在 Debian 中也完成了修复](https://alioth-lists.debian.net/pipermail/reproducible-builds/Week-of-Mon-20260525/015558.html)。 最后，本月新增了 40 条 Debian 软件包审查记录，更新了 68 条，移除了 75 条，进一步丰富了我们[已识别问题的知识库](https://tests.reproducible-builds.org/debian/index_issues.html)。多项问题类型得到更新，例如新增了 `sphinx_reading_durations` 工具链问题 [[...](https://salsa.debian.org/reproducible-builds/reproducible-notes/commit/ffb83115)]、`golang_mango_generates_manpages_with_build_date` 问题 [[...](https://salsa.debian.org/reproducible-builds/reproducible-notes/commit/de1c015b)] 以及 `random_offset_id_in_cython_linetrace` 问题 [[...](https://salsa.debian.org/reproducible-builds/reproducible-notes/commit/b99f0ae7)]。此外，`timestamps_in_qhc` 问题也经过了重新聚焦调整 [[...](https://salsa.debian.org/reproducible-builds/reproducible-notes/commit/f3bbf1a8)]。 [](https://fedoraproject.org/) 在 **Fedora** 方面，Jelle van der Waa 提交了一项[请求](https://bugzilla.redhat.com/show_bug.cgi?id=2482689)，申请建立官方 Fedora [*rebuilderd*](https://github.com/kpcyrd/rebuilderd) 软件包，该请求由 Neal Gompa 进行了审查。 [](https://www.opensuse.org/) 最后，Bernhard M. Wiedemann 发布了 **[openSUSE](https://www.opensuse.org/)** 可重复性工作的[月度更新](https://lists.opensuse.org/archives/list/[email protected]/thread/62MATHSPIQTAEWXCUN5JOBI2GHC4D54X/)。 ### 其他新闻 本月在[我们的邮件列表](https://lists.reproducible-builds.org/listinfo/rb-general/)中： - *cen* 向列表提出了一个有趣的问题，涉及["一个基于时间的不可重复性有趣案例"](https://lists.reproducible-builds.org/pipermail/rb-general/2026-May/004092.html)——他们注意到 Arch Linux 的 *rebuilderd* 实例[将 `grep` 软件包报告为可重复](https://reproducible.archlinux.org/api/v0/builds/787931/log)，而[他们自己的实例则不然](https://rebuilderd.xpam.pl:2096/api/v1/builds/416039/log)。尽管根本原因是"各种翻译在引导过程中从远程位置获取"，*cen* 认为：> 也许 rebuilderd 需要一项功能，对 `GOOD` 状态的软件包也定期以指数退避方式重新构建，并与当前上游构建以及我们上一次 `GOOD` 构建进行比对。这既能确认软件包在较短时间窗口内构建时是否可重复，也有助于发现当前被隐藏的较长时间窗口问题。 - 可重复构建开发者 *kpcyrd* 将我们的邮件列表抄送至一封[现有的邮件讨论串](https://lists.reproducible-builds.org/pipermail/rb-general/2026-May/004110.html)，该讨论串源自 Debian bug#[1137357](https://bugs.debian.org/1137357)，内容涉及基于 Rust 的 [Sequoia OpenPGP 库](https://sequoia-pgp.org/)中的确定性签名问题。此后产生了一些非常有价值的回复，例如 David A. Wheeler 的[这篇回复](https://lists.reproducible-builds.org/pipermail/rb-general/2026-May/004111.html)，讨论了在签名中实现确定性的朴素方法可能无意间泄露私钥的风险。 - 最后，David A. Wheeler 宣布 [2026 年软件供应链攻防研究与生态系统防御](https://scored.dev/)（SCORED '26）会议将于 2026 年 10 月 6 日在捷克布拉格举办。David 在[公告](https://lists.reproducible-builds.org/pipermail/rb-general/2026-May/004114.html)中特别指出，此次会议的论文征集（CfP）明确包含"可重复构建"主题，提交截止日期为 2026 年 7 月 12 日。 ### 补丁 可重复构建项目负责检测、分析并尝试修复尽可能多的当前不可重复构建软件包。我们致力于在适用且可行的情况下将所有补丁提交至上游。本月我们提交了大量此类补丁，包括： - Arnout Engelen（1）： - [`nftables`](https://git.netfilter.org/nftables/commit/?id=ca86f206c92704170a295b8dc7a41f6448835dde) - Bernhard M. Wiedemann（5）： - [`neomutt`](https://github.com/neomutt/neomutt/issues/4877) - [`ntpsec`](https://gitlab.com/NTPsec/ntpsec/-/merge_requests/1501) - [`pacemaker`](https://bugzilla.opensuse.org/show_bug.cgi?id=1265183) - [`powerdevil6`](https://build.opensuse.org/request/show/1353945) - [`sssd`](https://github.com/SSSD/sssd/pull/8759) - Chris Lamb（23）： - 针对 [`dkimpy`](https://tracker.debian.org/pkg/dkimpy) 提交的 [#1135692](https://bugs.debian.org/1135692) - 针对 [`fortran-stdlib`](https://tracker.debian.org/pkg/fortran-stdlib) 提交的 [#1135873](https://bugs.debian.org/1135873) - 针对 [`powerline`](https://tracker.debian.org/pkg/powerline) 提交的 [#1136291](https://bugs.debian.org/1136291) - 针对 [`pycayennelpp`](https://tracker.debian.org/pkg/pycayennelpp) 提交的 [#1136297](https://bugs.debian.org/1136297) - 针对 [`pycorrfit`](https://tracker.debian.org/pkg/pycorrfit) 提交的 [#1136298](https://bugs.debian.org/1136298) - 针对 [`sphinx-needs`](https://tracker.debian.org/pkg/sphinx-needs) 提交的 [#1136424](https://bugs.debian.org/1136424) - 针对 [`ruby-otr-activerecord`](https://tracker.debian.org/pkg/ruby-otr-activerecord) 提交的 [#1136425](https://bugs.debian.org/1136425) - 针对 [`git-pw`](https://tracker.debian.org/pkg/git-pw) 提交的 [#1136426](https://bugs.debian.org/1136426)