文章摘要
文章讨论了Ventoy项目中关于BLOBs(二进制大对象)的问题,涉及如何在Ventoy中管理和处理这些数据块,以及相关的技术细节和解决方案。
文章总结
关于Ventoy中的BLOBs问题的讨论
在Ventoy项目的GitHub Issue #3224中,开发者讨论了Ventoy中使用的二进制大对象(BLOBs)问题。Ventoy是一个开源工具,用于创建可启动的USB驱动器,支持多种操作系统镜像。尽管Ventoy是100%开源的,但项目中包含了一些从其他开源项目直接获取的二进制文件,这些文件未经修改直接使用。
主要讨论点:
BLOBs的来源与使用:Ventoy中的一些二进制文件是从其他开源项目直接获取的,开发者认为这些文件是可信的,因此没有进行修改。然而,社区中有用户对这些BLOBs的透明性和安全性提出了质疑。
改进方案:开发者提出了一种可能的解决方案,即在GitHub上创建子仓库,通过GitHub CI构建这些二进制文件,并在Ventoy中使用这些构建后的文件。这样,如果发现这些工具有问题,可以更新源代码并重新构建,使用新的二进制文件。
构建环境:开发者询问GitHub是否支持FreeBSD和Windows的构建环境,以及是否支持带有glibc/musl的Linux环境。社区成员回应称,GitHub支持这些环境,并且可以通过缓存机制加速构建过程。
可重现构建:社区成员建议Ventoy应努力实现可重现构建(Reproducible Builds),即任何人都可以从源代码构建出完全相同的二进制文件。虽然这在理论上很完美,但在实践中非常困难,尤其是当项目依赖多个开源项目时。
BLOBs列表:开发者已经创建了一个BLOBs列表,并在源代码树中维护了这个列表,以便用户可以查看这些二进制文件的来源和构建说明。
总结:Ventoy开发者正在积极讨论如何提高项目中BLOBs的透明性和安全性,并考虑通过GitHub CI构建这些二进制文件。虽然实现可重现构建是一个长期目标,但开发者认为当前最重要的是确保所有二进制文件的来源和构建过程都是透明的。
评论总结
评论内容总结如下:
对Ventoy的信任问题
- 一些用户对Ventoy的安全性表示怀疑,认为其维护者在过去几年中未采取足够的安全措施。
- 引用:
- "The maintainer hasn't done much regarding this for over 5 years." (graton)
- "Their security posture has not evolved with the times, the threat-landscape, and the growth of the project." (baobun)
Ventoy的实用性与兼容性
- 部分用户对Ventoy的实用性和兼容性表示认可,认为其在个人实验室环境中表现良好。
- 引用:
- "I really like Ventoy and use it and I’m just not worried about getting attacked with it on my personal homelab." (daft_pink)
- "I used Ventoy for a long time with various distros and even Windows, but for some reason it didn’t work with Arch." (delduca)
对维护者意图的质疑
- 有用户质疑维护者的意图,认为其可能通过假装无知或无能来构建合理的否认。
- 引用:
- "The cynical take is that what's on display in this issue is feigned ignorance/incompetence constructing plausible deniability." (baobun)
- "I'll believe it when it happens. The maintainer hasn't done much regarding this for over 5 years." (graton)
对“blob”术语的解释
- 有用户澄清“blob”并非缩写,而是指无定形的球状物,仅在数据库中被解释为“二进制大对象”。
- 引用:
- "FWIW 'blob' isn't an acronym. It refers metaphorically to an amorphous ball of goop." (immibis)
总结:评论中对Ventoy的信任问题、实用性与兼容性、维护者意图以及术语解释等方面存在不同观点,既有对其安全性和维护者的质疑,也有对其功能性的认可。