Debian 14의 Deterministic Compilation 도입을 통한 Supply Chain 보안 강화

Context

기존 패키지 빌드 프로세스의 비결정론적 특성으로 인한 Binary 변조 확인 불가 문제 발생. 배포처에 대한 맹목적 신뢰가 강제되는 구조적 한계를 해결하기 위해 Byte-identical 검증 체계 필요성 대두.

Technical Solution

• 동일 Compiler 버전 및 Option 적용 시 항상 동일한 Binary를 생성하는 Deterministic Compilation 구조 설계
• Reproducible Builds 프로젝트 기반의 Byte-for-byte 일치성 검증 메커니즘 도입
• Migration Software 내 Reproducibility 검증 로직을 통합하여 미충족 패키지의 Migration 차단
• 기존 Testing 패키지 중 Reproducibility가 저하된 Regression 사례를 자동 탐지하는 필터링 시스템 구축
• 사용자 및 자동화 도구가 직접 빌드한 결과물과 배포 Binary를 대조하는 추가 Verification Step 확보