Arch Linux ra mắt Docker Image có khả năng tái tạo hoàn toàn từng bit

Arch Linux vừa đạt được một cột mốc quan trọng khác trong hành trình phát triển hệ điều hành của mình: cung cấp Docker Image có khả năng tái tạo hoàn toàn từng bit (bit-for-bit reproducible).

Đây là bước tiếp nối thành tựu tương tự đã đạt được với ảnh WSL (Windows Subsystem for Linux) vài tháng trước. Đối với những người làm phát triển phần mềm và quản trị hệ thống, tính tái tạo (reproducibility) là yếu tố then chốt để đảm bảo tính toàn vẹn và bảo mật của môi trường xây dựng phần mềm.

Thẻ "repro" và lưu ý về Pacman Keys

Docker Image mới này được phân phối dưới một thẻ (tag) riêng biệt là "repro". Tuy nhiên, người dùng cần lưu ý một sự đánh đổi kỹ thuật quan trọng: để đảm bảo tính tái tạo hoàn toàn từng bit, các khóa pacman (pacman keys) đã bị loại bỏ khỏi ảnh.

Điều này có nghĩa là trình quản lý gói pacman sẽ không thể sử dụng ngay lập tức "ngay khỏi hộp" (out of the box) trong image này. Trong khi chờ đợi một giải pháp tối ưu hơn cho vấn đề này, nhóm phát triển Arch Linux quyết định phát hành phiên bản reproducible này dưới thẻ riêng như một cột mốc ban đầu.

Trong thực tế, người dùng sẽ cần phải (tạo lại) pacman keyring bên trong container trước khi có thể cài đặt hoặc cập nhật các gói phần mềm thông qua pacman. Bạn có thể thực hiện việc này bằng lệnh sau:

pacman-key --init && pacman-key --populate archlinux

Lệnh này có thể được chạy tương tác khi khởi động lần đầu hoặc thêm vào câu lệnh RUN trong Dockerfile nếu bạn sử dụng image này làm cơ sở (base image).

Đối với người dùng Distrobox, bạn có thể chạy lệnh này như một pre-init hook:

distrobox create -n arch-repro -i docker.io/archlinux/archlinux:repro --pre-init-hooks "pacman-key --init && pacman-key --populate archlinux"

Xác minh tính tái tạo

Tính tái tạo hoàn toàn từng bit của image này được xác nhận thông qua sự bằng nhau của digest (mã băm) giữa các lần xây dựng khác nhau (sử dụng lệnh podman inspect --format '{{.Digest}}') và bằng cách sử dụng công cụ diffoci để so sánh các bản build.

Tài liệu hướng dẫn để tái tạo Docker Image này hiện đã được công bố rộng rãi.

Thách thức kỹ thuật và giải pháp

Việc xây dựng rootFS cơ bản cho Docker Image theo một cách xác định (deterministic) là thách thức lớn nhất, nhưng quy trình này đã tái sử dụng cùng một quy trình với ảnh WSL (vì cả hai chia sẻ cùng một hệ thống xây dựng rootFS).

Các điều chỉnh cụ thể cho Docker bao gồm:

• Thiết lập biến môi trường SOURCE_DATE_EPOCH và tôn trọng nó trong nhãn org.opencontainers.image.created trong Dockerfile.
• Loại bỏ tệp cache phụ trợ của ldconfig (tệp aux-cache), vốn gây ra sự không xác định (non-determinism), khỏi image được xây dựng.
• Chuẩn hóa các dấu thời gian (timestamps) trong quá trình docker build hoặc podman build bằng cách sử dụng các tùy chọn --source-date-epoch=$SOURCE_DATE_EPOCH và --rewrite-timestamp.

Bạn có thể xem các thay đổi liên quan trong kho lưu trữ archlinux-docker để biết thêm chi tiết kỹ thuật.

Đây là một thành tựu ý nghĩa khác trong nỗ lực chung về "reproducible builds" của Arch Linux, mở đường cho một hệ sinh thái phần mềm minh bạch và an toàn hơn.