FreeBSD 基金会近日宣布，FreeBSD 的源码发行构建系统迎来两项重大改进：第一构建过程无需 root 权限，第二全面支持可重现构建（Reproducible Builds）。此举意味着开发者和构建服务器现在都能在非 Root 环境下安全地完成系统镜像、虚拟机镜像及云平台镜像的生成。

FreeBSD 基金会欣然宣布，已完成无需 root 权限即可构建 FreeBSD 的工作。我们已实现所有源代码版本构建均支持使用无 root 基础架构，从而消除了在整个 FreeBSD 发布流程中对 root 权限的需求。

本项工作是作为 Sovereign Tech Agency 委托项目的一部分完成的。

这些更改目前已在 FreeBSD 开发分支中提供，并将尽可能合并到 FreeBSD 15.0 的发布分支中。

构建 FreeBSD 版本工件不再需要 root 权限来创建设备文件、设置正确的所有权以及在构建过程中挂载文件系统。这提高了安全性并简化了自动化构建。

第一，去除 root 的权限需求

在构建发布工件时，不需要在创建设备文件（device files）、设置所有权、挂载文件系统等必须 root 的操作。

因此，无论是官方构建系统还是社区贡献者，都可以在 “非特权”（unprivileged）环境或容器中完成构建。

降低了攻击面（attack surface）、减小了特权提升（privilege-escalation）的风险。

第二，可重现构建（Reproducible Builds）

此项的改动包括消除或规范化时间戳（timestamps）、稳定化文件列表和包元数据（ordering of file lists, package metadata）、统一构建环境（包括调试路径、语言 / 区域设置 locale）等。

在发行工具（如 mkimg (1)）也加入了对可重现工件（artifact）支持。

可重现构建增强了软件供应链的信任性，可以验证构建输出是否与公开源码对应，有助于调试、审计、持续集成（CI）和长期维护。

通过去除对 root 权限的依赖，FreeBSD 降低了构建过程中的攻击面和安全风险，也让自动化 CI/CD 管线更加易于部署。同时，可重现构建确保相同源码输入能生成字节级一致的二进制文件，显著提升软件供应链的透明度与信任度。

这些改进已在 FreeBSD 的开发分支启用，预计将在 FreeBSD 15.0 版本中被全面整合。对于系统开发者与安全研究者而言，这标志着 FreeBSD 在安全构建和可验证供应链方面迈出了重要的一步。

作者：场长
相关网址：
https://freebsdfoundation.org/blog/freebsd-now-builds-reproducibly-and-without-root-privilege/