主要观点：

• 上周关于可重现 Arch Linux 的邮件提到 docker.io/library/archlinux 仅剩一个不可重现的包，现已通过 dvzrv 和 Foxboron 的工作变得可重现，系统 100%可重现，可通过特定命令验证。
• 探讨了如何实现 OCI 容器镜像本身的可重现性，对相关工作和存在的问题进行了思考，如不知 Docker Hub 上“官方”镜像的先前工作，怀疑 Arch Linux 当前脚本易受镜像变化影响，不确定与注册表生成的清单 JSON 相关的可重现容器的缺失部分，图像摘要不可预测也被提及。
• 提及目前在多个组织间尚无共识，不同的重建者报告的可重现性比例不同，存在一些需解决的情况，如 gcc-libs、glibc、ncurses 这三个包目前有一定运气成分，正在努力消除。
• 介绍了若对这种供应链安全感兴趣可关注 repro-env，目前在 ubuntu 24.04 LTS 中尝试引入但被 Debian 的 libnettle 阻塞。

关键信息：

• 仅剩一个不可重现包，现已解决。
• 对容器镜像可重现性的思考和疑问。
• 不同重建者的可重现性报告差异。
• repro-env 的相关情况。

重要细节：

• 相关链接：[https://lists.reproducible-bu...]、[https://github.com/docker-lib...]、[https://gitlab.archlinux.org/...]、[https://github.com/reproducib...]、[https://gitlab.archlinux.org/...]、[https://github.com/sigstore/c...]、[https://reproducible.archlinu...]、[https://wolfpit.net/rebuild]、[https://github.com/kpcyrd/rep...]、[https://tracker.debian.org/pk...]、[https://tracker.debian.org/pk...]