概要
DebianのRelease Teamは、Debian 14「Forky」の開発サイクルにおいて、testingブランチへのパッケージ移行に再現可能ビルドを必須条件とするポリシーを2026年5月9日から施行した。再現可能ビルドとは「同じソースコードを同じ制御された環境でビルドすると、同一のバイナリパッケージが生成される」仕組みであり、配布されるバイナリが公開されているソースコードと一致していることを検証できる。これはLinuxディストリビューション界隈における重要なセキュリティマイルストーンで、サプライチェーン攻撃対策としてバイナリの改ざん検知を義務化した形となる。
技術的な詳細
再現可能ビルドの検証には、Debianのreproduce.debian.netインフラが使用される。このインフラは、オリジナルのビルドプロセス中に生成された.buildinfoファイルを利用してバイナリパッケージをビット単位で再ビルドし、同一性を確認する。現時点では全アーキテクチャで98%以上の再現性が達成されており、23,728のパッケージが検証済みとなっている。
このポリシーはtestingへ新規移行するパッケージだけでなく、既存パッケージの更新にも適用される。更新によって再現性の問題が生じた場合、解決されるまでtestingへの移行がブロックされる。一方、現在のstableリリースへの直接的な影響はなく、2027年中頃に予定されているDebian 14のstableリリースに向けた品質管理の強化として機能する。
セキュリティ上の利点と今後の展望
再現可能ビルドの義務化によって得られる主な利点は4つある。パッケージの整合性検証、ビルドプロセスの透明性確保、サプライチェーンセキュリティの向上、そして再現性のリグレッション防止だ。ビルドサーバーやビルドプロセスが侵害された場合でも、バイナリがソースコードと一致していることを独立して確認できるため、悪意のあるコードの混入を検出しやすくなる。
また今回の変更に合わせて、DebianのマイグレーションソフトウェアがバイナリのみのNMU(Non-Maintainer Upload)に対してもautopkgtestを実行できるようになった。これはフルソースアップロードでのみ利用可能だった機能であり、テスト体制のさらなる強化につながる。