Schlanke Container mit Nix

Reproducibility ist ein Thema, das aus mehreren Gründen Beachtung verdient: Ein Bug tritt in einem Release auf, möglicherweise sogar in einer älteren Version, die zum Kunde herausgegeben wurde – welcher Codestand war das, wie bekomme ich exakt dieselben Bibliotheken und dieselbe Laufzeitumgebung wieder her, um das Problem zu diagnostizieren? Der Secure Software Development Lifecycle legt Augenmerk auf das Verhindern von Supply Chain Attacks, was letztlich ähnlich der Reproducibility ist: Wie kann sichergestellt werden, dass einzelne Komponenten auf der gesamten Strecke von der Entwicklung bis zur Produktion identisch sind und nicht durch schadhafte ausgetauscht werden?
Viele Buildsysteme bedienen sich Lockfiles, um die Bibliotheken “festzupinnen” – aber was ist mit dem Container, in dem heute viele Anwendungen laufen? Das häufige “apt update ; apt upgrade” bringt zwar den aktuellsten Stand in den Container, aber ein definierter “Point in Time” ist so nicht möglich. Zusätzlich ist so meist das gesamte Paketmanagement (und noch mehr Ballast) mit im Container, was die Images zum einen groß macht, zum anderen Platz für “Living of the Land”-Angriffe schafft.
Der Paketmanager Nix erlaubt es, definierte Stände von Software auf unterschiedliche Ziele (vom lokalen System über Container bis kompletten VMs) zu generieren. Er eignet sich sowohl zum Erstellen minimaler Container als auch zum Definieren und schnellen Installieren der Entwickler-Toolchain, die somit garantiert identisch auf CI-Systemen und Entwicklerrechnern ist. Der Vortrag gibt für diese Einsatzzwecke eine Einführung und verweist auf hilfreiche Tools.