如何列出 Debian 系統上安裝了哪些不可複制的軟體包？

reproducible-builds.org解釋了為什麼可重複建構很重要：

雖然任何人都可以檢查免費和開源軟體的原始碼是否存在惡意缺陷，但大多數軟體都是預編譯分發的，無法確認它們是否對應。

這激勵了對發佈軟體的開發人員的攻擊，不僅通過傳統的利用，而且以政治影響、勒索甚至暴力威脅的形式。

根據isdebianreproducibleyet.com ， Debian 目前只有 94.7% 的可重現性。

此處列出了 buster/amd64 中無法重現建構的包。

有沒有一種簡單快捷的方法來列出系統上安裝的所有不可複制的軟體包？

我正在考慮諸如debsecan | grep "remotely exploitable"辨識具有漏洞的已安裝軟體包或vrms確保沒有安裝不是免費的開源軟體的軟體包。是否存在這樣的工具或腳本？

需要注意的是，可重現建構資訊中顯示的結果僅反映了目前測試框架中的理論重現性。它們不一定被翻譯成關於目前可從 Debian 儲存庫下載的軟體包的可再現性的聲明。

也就是說，該devscripts軟體包包含一個reproducible-check命令，其目的與您正在尋找的內容相似：它從 CI 基礎架構下載目前結果，並將其與已安裝的軟體包集進行比較。但是，它目前有些錯誤，並且測試結果僅針對 Bullseye 導出…如果您有興趣，請密切關注上游儲存庫，該工具正在開發中。

引用自：https://unix.stackexchange.com/questions/590909