Newsroom

"Reproducible Builds" : mieux comprendre et améliorer la sécurité des logiciels

lundi 26 mai 2025
MSR-2025-awards

Remise des prix lors du banquet MSR (Mining Software Repositories) au Musée d’Histoire du Canada à Ottawa. De g. à d. : Bram Adams (MSR general chair), Julien Malka, Stefano Zacchiroli, Olga Baysal & Ayushi Rastogi (MSR program co-chairs) – photo Roberto Di Cosmo

Julien Malka, doctorant, Stefano Zacchiroli et Théo Zimmermann, enseignants-chercheurs dans l’équipe Systèmes embarqués critiques autonomes (ACES) du laboratoire LTCI de Télécom Paris, reçoivent l’ACM SIGSOFT Distinguished Paper Award pour leur article Does functional package management enable reproducible builds at scale? Yes. publié à la conférence Mining Software Repositories (MSR) 2025.

La conférence Mining Software Repositories (MSR) est la conférence scientifique la plus prestigieuse sur l’analyse des logiciels dont l’objectif est d’analyser les données d’ingénierie logicielle en associant science des données, apprentissage automatique/intelligence artificielle et méthodologies qualitatives.

 

Les travaux de recherche présentés dans l’article dont le titre peut être traduit par « La gestion fonctionnelle des paquets permet-elle des constructions reproductibles à grande échelle ? Oui. » permettent de mieux comprendre et d’améliorer la sécurité des logiciels.
les auteurs

 

En effet, lorsqu’un logiciel est installé, il est important de savoir qu’il n’a pas été modifié ou corrompu. Pour ça, il existe une méthode appelée « Reproducible Builds » (constructions reproductibles), qui permet de reconstruire exactement le même logiciel à partir du code, peu importe qui le fait ou quand.

Nos chercheurs ont voulu savoir si cette méthode pouvait passer à l’échelle, même quand on l’applique à des centaines de milliers de logiciels. Ils ont donc testé plus de 700 000 programmes dans un système appelé Nix (gestionnaire de paquets fonctionnel) entre 2017 et 2023.

Leur expérience a montré que, dans la plupart des cas, les logiciels étaient bien identiques à chaque reconstruction. Des petites différences étaient parfois constatées, souvent à cause de dates ou informations ajoutées automatiquement pendant la fabrication.

Lire l’article Does Functional Package Management Enable...
En savoir plus : Is NixOS truly reproducible?