Gregory's Server
To explain, we have #SLSA signatures that verify the build was done automatically by #GitHub as instructed, *and* we have traditional #gpg signatures with private keys only known to maintainer(s) that verify a maintainer actually triggered the built and locally reproduced it…
Given they both validate, you automatically achieve reproducible builds _and_ #SLSA validity.
One caveat: This was only easy, because our build process is essentially one command (git archive).
https://github.com/PrivateBin/PrivateBin/blob/master/doc/Release.md
Wow, je mehr ich über die ganze #xz Saga lese, desto beeindruckter bin ich, was für ein unglaublicher Zufall es war, dass das so schnell gefunden wurde 😳
https://boehs.org/node/everything-i-know-about-the-xz-backdoor ist ein lesenswerter Überblick.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708 gibt einen guten Eindruck, wie vor 5-6 Tagen angefangen wurde, Druck aufzubauen, die kompromittierte Version in Debian hochzuladen. Und wie viel Energie da rein gesteckt wurde.
#infosec #security
Wow, je mehr ich über die ganze #xz Saga lese, desto beeindruckter bin ich, was für ein unglaublicher Zufall es war, dass das so schnell gefunden wurde 😳
https://boehs.org/node/everything-i-know-about-the-xz-backdoor ist ein lesenswerter Überblick.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708 gibt einen guten Eindruck, wie vor 5-6 Tagen angefangen wurde, Druck aufzubauen, die kompromittierte Version in Debian hochzuladen. Und wie viel Energie da rein gesteckt wurde.