1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
|
*****************************************************
* GENERATED FILE, DO NOT EDIT *
* THIS IS NO SOURCE FILE, BUT RESULT OF COMPILATION *
*****************************************************
This file was generated by po4a(7). Do not store it (in VCS, for example),
but store the PO file used as source file by po4a-translate.
In fact, consider this as a binary, and the PO file as a regular .c file:
If the PO get lost, keeping this translation up-to-date will be harder.
=encoding UTF-8
=head1 BEZEICHNUNG
dpkg-buildflags - liefert Bauschalter zum Einsatz beim Paketbau
=head1 ÜBERSICHT
B<dpkg-buildflags> [I<Option> …] [I<Befehl>]
=head1 BESCHREIBUNG
B<dpkg-buildflags> ist ein Werkzeug, das zum Abfragen der zu verwendenden Kompilierungsschalter für den Bau von Debian-Paketen eingesetzt wird.
Die Standardschalter werden vom Lieferanten definiert, sie können auf mehrere Arten erweitert/überschrieben werden:
=over
=item 1.
systemweit mit B<%PKGCONFDIR%/buildflags.conf>
=item 2.
für den aktuellen Benutzer mit B<$XDG_CONFIG_HOME/dpkg/buildflags.conf>, wobei B<$XDG_CONFIG_HOME> standardmäßig auf B<$HOME/.config> gesetzt ist
=item 3.
temporär durch den Benutzer mittels Umgebungsvariablen (siehe Abschnitt L</UMGEBUNG>)
=item 4.
dynamisch durch den Paketverwalter mittels Umgebungsvariablen, die über B<debian/rules> gesetzt wurden (siehe Abschnitt L</UMGEBUNG>)
=back
Die Konfigurationsdateien können vier Arten von Direktiven enthalten:
=over
=item B<SET> I<Schalter> I<Wert>
Überschreibt den Schalter namens I<Schalter>, um den Wert I<Wert> zu erhalten.
=item B<STRIP> I<Schalter> I<Wert>
Aus dem Schalter namens I<Schalter> alle in I<Wert> aufgeführten Bauschalter entfernen. Seit Dpkg 1.16.1.
=item B<APPEND> I<Schalter> I<Wert>
Erweitert den Schalter namens I<Schalter> durch Anhängen der in I<Wert> angegebenen Optionen. Ein Leerzeichen wird dem angehängten Wert vorangestellt, falls der derzeitige Wert nicht leer ist.
=item B<PREPEND> I<Schalter> I<Wert>
Erweitert den Schalter namens I<Schalter> durch Voranstellen der in I<Wert> angegebenen Optionen. Ein Leerzeichen wird dem vorangestellten Wert angehängt, falls der derzeitige Wert nicht leer ist. Seit Dpkg 1.16.1.
=back
Die Konfigurationsdateien können Kommentare in Zeilen enthalten, die mit einer Raute (#) beginnen. Leere Zeilen werden auch ignoriert.
Dieses Programm wurde in Dpkg 1.15.7 hinzugefügt.
=head1 BEFEHLE
=over
=item B<--dump>
Gibt auf der Standardausgabe alle Kompilierschalter und ihre Werte aus. Es wird ein Schalter pro Zeile ausgegeben, wobei die Werte durch ein Gleichheitszeichen („I<Schalter>=I<Werte>“) abgetrennt werden. Dies ist die Standardaktion.
=item B<--list>
Gibt die Liste der vom aktuellen Lieferanten unterstützten Schalter (einen pro Zeile) aus. Lesen Sie den Abschnitt L</UNTERSTÜTZTE SCHALTER> für weitere Informationen über sie.
=item B<--status>
Zeigt alle Informationen an, die zum Verständnis des Verhaltens von B<dpkg-buildflags> nützlich sein können (seit Dpkg 1.16.5): relevante Umgebungsvariablen, aktueller Lieferant, Zustand der Funktionsschalter. Auch die entstehenden Compiler-Schalter mit ihrem Ursprung werden ausgegeben.
Dies ist zur Ausführung in B<debian/rules> gedacht, so dass das Bauprotokoll einen klaren Nachweis der verwandten Bauschalter enthält. Dies kann zur Diagnose von Problemen in Zusammenhang mit diesen nützlich sein.
=item B<--export=>I<Format>
Gibt auf der Standardausgabe Befehle aus, die dazu verwandt werden können, alle Kompilierschalter für bestimmte Werkzeuge zu exportieren. Falls der Wert von I<Format> nicht angegeben wird, wird B<sh> angenommen. Nur Kompilierschalter, die mit einem Großbuchstaben beginnen, werden aufgenommen. Bei allen anderen wird angenommen, dass sie für die Umgebung nicht geeignet sind. Unterstützte Formate:
=over
=item B<sh>
Shell-Befehle, um alle Kompilierungsschalter in der Umgebung zu setzen und zu exportieren. Die Schalterwerte werden maskiert, so dass die Ausgabe für Auswertung durch eine Shell bereit ist.
=item B<cmdline>
Argumente, die an die Befehlszeile eines Bauprogrammes übergeben werden, um alle Übersetzungsschalter zu verwenden (seit Dpkg 1.17.0). Die Schalterwerte werden in Shell-Syntax maskiert.
=item B<configure> (konfiguriert)
Dies ist ein historischer Alias für B<cmdline>.
=item B<make>
Make-Direktiven, um alle Kompilierungsschalter in der Umgebung zu setzen und zu exportieren. Die Ausgabe kann in ein Make-Steuerdateifragment geschrieben und mit einer B<include>-Direktive ausgewertet werden.
=back
=item B<--get> I<Schalter>
Gibt den Wert des Schalters auf der Standardausgabe aus. Beendet sich mit 0, falls der Schalter bekannt ist, andernfalls mit 1.
=item B<--origin> I<Schalter>
Gibt den Ursprung des von B<--get> gelieferten Werts aus. Beendet sich mit 0, falls der Schalter bekannt ist, andernfalls mit 1. Der Ursprung kann einer der folgenden Werte sein:
=over
=item B<vendor>
der ursprünglich vom Lieferanten gesetzte Schalter wird zurückgeliefert
=item B<system>
der Schalter wurde durch eine systemweite Konfiguration gesetzt/verändert
=item B<user>
der Schalter wurde durch eine benutzerspezifische Konfiguration gesetzt/verändert
=item B<env>
der Schalter wurde durch eine umgebungsspezifische Konfiguration gesetzt/verändert
=back
=item B<--query>
Alle Informationen anzeigen, die zur Erklärung des Verhaltens des Programms hilfreich sein könnten: aktueller Lieferant, relevante Umgebungsvariablen, Funktionalitätsbereiche, Zustand der Funktionsschalter, ob eine Funktionalität als eingebaute Vorgabe durch den Compiler behandelt wird (seit Dpkg 1.21.14) und die Compiler-Schalter mit ihrem Ursprung (seit Dpkg 1.19.0).
Zum Beispiel:
Vendor: Debian
Environment:
DEB_CFLAGS_SET=-O0 -Wall
Area: qa
Features:
bug=no
canary=no
Builtins:
Area: hardening
Features:
pie=no
Builtins:
pie=yes
Area: reproducible
Features:
timeless=no
Builtins:
Flag: CFLAGS
Value: -O0 -Wall
Origin: env
Flag: CPPFLAGS
Value: -D_FORTIFY_SOURCE=2
Origin: vendor
=item B<--query-features> I<Bereich>
Gibt die Funktionalitäten, die für den übergebenen Bereich aktiviert sind, aus (seit Dpkg 1.16.2). Falls die Funktionalität als eingebaute Vorgabe durch den Compiler gehandhabt wird (selbst wenn nur für einige Architekturen), dann wird das Feld B<Builtin> ausgegeben (seit Dpkg 1.21.14). Lesen Sie den Abschnitt B<FUNKTIONALITÄTSBEREICHE> für weitere Details zu den aktuell erkannten Bereichen. Beendet sich mit 0, falls der Bereich bekannt ist, andernfalls mit 1.
Die Ausgabe ist im RFC822-Format, mit einem Abschnitt pro Funktionalität. Beispiel:
Feature: pie
Enabled: yes
Builtin: yes
Feature: stackprotector
Enabled: yes
=item B<--help>
Zeigt einen Hinweis zum Aufruf und beendet das Programm.
=item B<--version>
Gibt die Version aus und beendet das Programm.
=back
=head1 UNTERSTÜTZTE SCHALTER
=over
=item B<ASFLAGS>
Optionen für den Assembler des Rechners. Standardwert: leer. Seit Dpkg 1.21.0.
=item B<CFLAGS>
Optionen für den C-Compiler des Rechners. Der vom Lieferanten gesetzte Standardwert enthält I<-g> und die Standard-Optimierungsstufe (normalerweise I<-O2> oder B<-O0>, falls die Umgebungsvariable B<DEB_BUILD_OPTIONS> I<noopt> definiert).
=item B<CPPFLAGS>
Optionen für den C-Präprozessor des Rechners. Standardwert: leer.
=item B<CXXFLAGS>
Optionen für den C++-Compiler des Rechners. Identisch zu B<CFLAGS>.
=item B<OBJCFLAGS>
Optionen für den Objective-C-Compiler des Rechners. Identisch zu B<CFLAGS>. Seit Dpkg 1.17.7.
=item B<OBJCXXFLAGS>
Optionen für den Objective-C++-Compiler des Rechners. Identisch zu B<CXXFLAGS>. Seit Dpkg 1.17.7.
=item B<DFLAGS>
Optionen für den D-Compiler des Rechners (ldc oder gdc). Seit Dpkg 1.20.6.
=item B<FFLAGS>
Optionen für den Fortran-77-Compiler des Rechners. Eine Untermenge von B<CFLAGS>.
=item B<FCFLAGS>
Optionen für den Fortran-9x-Compiler des Rechners. Identisch zu B<FFLAGS>. Seit Dpkg 1.17.7.
=item B<LDFLAGS>
Optionen, die beim Linken von Programmen oder Laufzeitbibliotheken an den Compiler des Rechners weitergegeben werden (falls der Linker direkt aufgerufen wird, müssen B<-Wl> und B<,> aus diesen Optionen entfernt werden). Standardmäßig leer.
=item B<ASFLAGS_FOR_BUILD>
Optionen für den Assembler zum Bauen. Standardwert: leer. Seit Dpkg 1.22.1.
=item B<CFLAGS_FOR_BUILD>
Optionen für den C-Compiler zum Bauen. Der vom Lieferanten gesetzte Standardwert enthält I<-g> und die Standard-Optimierungsstufe (normalerweise I<-O2> oder B<-O0>, falls die Umgebungsvariable B<DEB_BUILD_OPTIONS> I<noopt> definiert). Seit Dpkg 1.22.1.
=item B<CPPFLAGS_FOR_BUILD>
Optionen für den C-Präprozessor zum Bauen. Standardwert: leer. Seit Dpkg 1.22.1.
=item B<CXXFLAGS_FOR_BUILD>
Optionen für den C++-Compiler zum Bauen. Identisch zu B<CFLAGS_FOR_BUILD>. Seit Dpkg 1.22.1.
=item B<OBJCFLAGS_FOR_BUILD>
Optionen für den Objective-C-Compiler zum Bauen. Identisch zu B<CFLAGS_FOR_BUILD>. Seit Dpkg 1.22.1.
=item B<OBJCXXFLAGS_FOR_BUILD>
Optionen für den Objective-C++-Compiler zum Bauen. Identisch zu B<CXXFLAGS_FOR_BUILD>. Seit Dpkg 1.22.1.
=item B<DFLAGS_FOR_BUILD>
Optionen für den D-Compiler (ldc oder gdc) zum Bauen. Seit Dpkg 1.22.1.
=item B<FFLAGS_FOR_BUILD>
Optionen für den Fortran-77-Compiler zum Bauen. Eine Untermenge von B<CFLAGS_FOR_BUILD>. Seit Dpkg 1.22.1.
=item B<FCFLAGS_FOR_BUILD>
Optionen für den Fortran-9x-Compiler zum Bauen. Identisch zu B<FFLAGS_FOR_BUILD>. Seit Dpkg 1.22.1.
=item B<LDFLAGS_FOR_BUILD>
Optionen, die beim Linken von Programmen oder Laufzeitbibliotheken an den Compiler zum Bauen weitergegeben werden (falls der Linker direkt aufgerufen wird, müssen B<-Wl> und B<,> aus diesen Optionen entfernt werden). Standardmäßig leer. Seit Dpkg 1.22.1.
=back
Neue Schalter können in Zukunft hinzugefügt werden, falls die Notwendigkeit aufkommt (beispielsweise, um weitere Sprachen zu unterstützen).
=head1 FUNKTIONALITÄTSBEREICHE
Funktionalitätsbereiche sind derzeit Lieferanten-spezifisch und die nachfolgend beschriebenen werden nur unter Debian und abgeleiteten Distributionen erkannt.
Jeder Funktionalitätsbereich kann in dem Bereichswert der Umgebungsvariablen B<DEB_BUILD_OPTIONS> und B<DEB_BUILD_MAINT_OPTIONS> durch die Wandler »B<+>« und »B<->« aktiviert oder deaktiviert werden. Gemäß der allgemeine Syntax dieser Variablen (in L<dpkg-buildpackage(1)> beschrieben) können mehrere Funktionalitätsbereiche getrennt durch Leerzeichen angegeben werden, wobei jede die Funktionalitätskennzeichner als verpflichtende Parameter nach einem Gleichzeichen (»B<=>«) erhält. Die Funktionalitätskennzeichner werden durch Kommata getrennt und von links nach rechts ausgewertet, wobei die Einstellungen innerhalb des gleichen Funktionalitätskennzeichners die vorhergehenden außer Kraft setzen, selbst falls die Funktionalitätskennzeichner über mehrere, durch Leerzeichen getrennte Funktionalitätsbereichseinstellungen für den gleichen Bereich verteilt sind.
Um beispielsweise die B<hardening>-Funktionalität »pie« zu aktivieren und die Funktionalität »fortify« zu deaktivieren, können Sie folgendes in B<debian/rules> verwenden:
export DEB_BUILD_MAINT_OPTIONS = hardening=+pie,-fortify
Die spezielle Funktionalität B<all> (in allen Bereichen gültig) kann dazu verwandt werden, alle Bereichsfunktionalitäten auf einmal zu aktivieren oder zu deaktivieren. Um daher alles im Bereich B<hardening> zu deaktivieren und nur „format“ und „fortify“ zu aktiveren, kann Folgendes eingesetzt werden:
export DEB_BUILD_MAINT_OPTIONS = hardening=-all,+format,+fortify
Es können mehrere Funktionalitätsbereiche gesetzt werden:
export DEB_BUILD_MAINT_OPTIONS = hardening=+pie abi=+lfs
Das Außerkraftsetzenverhalten gilt auch für die besondere Funktionalität B<all>, sowie bestimmten Funktionalitäten, wodurch Zusammensetzungen ermöglicht werden sollten. Um daher »lfs« im Bereich B<abi> zu aktivieren und nur »pie« und »fortify« in dem Bereich B<hardening>, aber »format« nur, wenn CONDITION definiert ist, könnte dies wie folgt passieren:
export DEB_BUILD_MAINT_OPTIONS = hardening=-all,+pie,+format abi=+lfs
…
DEB_BUILD_MAINT_OPTIONS += hardening=+fortify
ifdef CONDITION
DEB_BUILD_MAINT_OPTIONS += hardening=-format
endif
=head2 abi
Mehrere Optionen zur Kompilierung (Details weiter unten) können verwandt werden, um das ABI eines Paketes zu ändern. Dies kann standardmäßig aufgrund von Rückwärtskompatibilität nicht aktiviert sein, außer dies wird koordiniert oder einzeln geprüft.
=over
=item B<lfs>
Diese Einstellung (seit Dpkg 1.22.0; standardmäßig deaktiviert) aktiviert die Unterstützung für große Dateien auf 32-Bit-Architekturen, bei denen ihre ABI diese Unterstützung nicht standardmäßig aktiviert, indem B<-D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64> zu B<CPPFLAGS> hinzugefügt wird.
Wenn diese Funktionalität aktiviert ist, wird sie den Wert aus der gleichen Funktionalität im Funktionalitätsbereich B<future> außer Kraft setzen.
=item B<time64>
Diese Einstellung (seit Dpkg 1.22.0; seit Dpkg 1.22.5 standardmäßig aktiviert außer für i386, hurd-i386 und kfreebsd-i386) aktiviert die Unterstützung von 64-bit time_t auf 32-bit-Architekturen bei denen das ABI dies nicht standardmäßig enthält, indem B<-D_TIME_BITS=64> zu B<CPPFLAGS> hinzugefügt wird. Diese Einstellung aktiviert automatisch die Funktionalität B<lfs> von dem Funktionsbereich B<abi>.
Falls diese Einstellung explizit aktiviert ist, dann wird sie auf allen Architekturen einschließlich i386 aktiviert, aber nicht auf hurd-i386 oder kfreebsd-i386 (wo der Kernel nicht über die Schnittstelle time64 verfügt) und die standardmäßige binäre Rückwärtskompatibilität wird ignoriert.
Sie wird standardmäßig durch GCC auch auf den Debian-Architekturen Armel, Armhf, HPPA, M68k, Mips, Mipsel, Powerpc und Sh4 aktiviert, bei denen die Deaktivierung der Funktionalität stattdessen B<-U_LARGEFILE_SOURCE -U_FILE_OFFSET_BITS -U_TIME_BITS> zu B<CPPFLAGS> hinzfügt.
=back
=head2 future (Zukunft)
Mehrere Optionen zur Kompilierung (Details weiter unten) können verwandt werden, um Funktionen zu aktivieren, die standardmäßig aktiviert sein sollten, dies aber aus Rückwärtskompatibilitätsgründen nicht sein können.
=over
=item B<lfs>
Diese Einstellung (seit Dpkg 1.19.0; standardmäßig deaktiviert) ist jetzt ein Alias für die Funktionalität B<lfs> im Bereich B<abi>; verwenden Sie stattdessen letzteres. Die Funktionalität aus dem Bereich B<abi> setzt diese Einstellung außer Kraft.
=back
=head2 qa (QS)
Mehrere Optionen zur Kompilierung (Details weiter unten) können verwandt werden, um Probleme im Quellcode oder im Bausystem zu erkennen.
=over
=item B<bug-implicit-func>
Diese Einstellung (seit Dpkg 1.22.3; seit Dpkg 1.22.6 standardmäßig aktiviert) fügt B<-Werror=implicit-function-declaration> zu B<CFLAGS> hinzu.
=item B<bug>
Diese Einstellung (seit Dpkg 1.17.4; standardmäßig deaktiviert) fügt Warnoptionen hinzu, die zuverlässig problematischen Quellcode erkennen. Diese Warnungen sind fatal. Die einzigen derzeit unterstützten Schalter sind B<CFLAGS> und B<CXXFLAGS>, wobei die Schalter auf B<-Werror=array-bounds>, B<-Werror=clobbered>, B<-Werror=implicit-function-declaration> und B<-Werror=volatile-register-var> gesetzt werden.
Diese Funktionalität behandelt B<-Werror=implicit-function-declaration> mittels der Funktionalität B<bug-implicit-func>, falls diese nicht angegeben wurde.
=item B<canary>
Diese Einstellung (seit Dpkg 1.17.14; standardmäßig deaktiviert) fügt Pseudo-Zufallsbarrieren-Optionen zu den Bauschaltern hinzu, so dass die Bauprotokolle überprüft werden können, wie die Bauschalter weitergereicht werden. Dies erlaubt, Auslassungen in den normalen Bauschaltereinstellungen zu finden. Derzeit werden nur die Schalter B<CPPFLAGS>, B<CFLAGS>, B<OBJCFLAGS>, B<CXXFLAGS> und B<OBJCXXFLAGS> unterstützt, wobei die Schalter auf B<-D__DEB_CANARY_>I<Schalter>_I<Zufallskennung>B<__> gesetzt werden, und B<LDFLAGS>, das auf B<-Wl,-z,deb-canary->I<Zufallskennung> gesetzt wird.
=back
=head2 optimize (Optimierung)
Mehrere Optionen zur Kompilierung (Details weiter unten) können verwandt werden, um bei der Optimierung des entstehenden Programms zu helfen (seit Dpkg 1.21.0). B<Hinweis>: durch Aktivieren B<aller> dieser Optionen kann es zu nicht reproduzierbaren Programmartefakten kommen.
=over
=item B<lto>
Diese Einstellung (seit Dpkg 1.21.0; standardmäßig deaktiviert) aktiviert Link Time Optimization (Optimierung zum Link-Zeitpunkt), indem B<-flto=auto -ffat-lto-objects> zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS>, B<FCFLAGS> und B<LDFLAGS> hinzugefügt wird.
=back
=head2 sanitize (Bereinigung)
Mehrere Kompilierzeit-Optionen (nachfolgend beschrieben) können dazu verwandt werden, ein erstelltes Programm vor Speicherverfälschungsangriffen Speicherlecks, Verwendung nach Freigabe, Daten-Zugriffswettläufen („races“) in Threads und Fehlern durch undefiniertes Verhalten zu bereinigen. B<Hinweis>: Diese Optionen sollten B<nicht> beim Bauen im Produktivbetrieb benutzt werden, da sie die Zuverlässigkeit von spezifikationsgetreuem Code, die Sicherheit oder sogar die Funktionalität reduzieren bzw. negativ beeinflussen können.
=over
=item B<address>
Diese Einstellung (seit Dpkg 1.18.0; standardmäßig deaktiviert) fügt B<-fsanitize=address> zu B<LDFLAGS> und B<-fsanitize=address -fno-omit-frame-pointer> zu B<CFLAGS> und B<CXXFLAGS> hinzu.
=item B<thread>
Diese Einstellung (seit Dpkg 1.18.0; standardmäßig deaktiviert) fügt B<-fsanitize=thread> zu B<CFLAGS>, B<CXXFLAGS> und B<LDFLAGS> hinzu.
=item B<leak>
Diese Einstellung (seit Dpkg 1.18.0; standardmäßig deaktiviert) fügt B<-fsanitize=leak> zu B<LDFLAGS> hinzu. Sie wird automatisch deaktiviert, falls entweder die Funktionalitäten B<address> oder B<thread> aktiviert werden, da diese sie einschließen.
=item B<undefined>
Diese Einstellung (seit Dpkg 1.18.0; standardmäßig deaktiviert) fügt B<-fsanitize=undefined> zu B<CFLAGS>, B<CXXFLAGS> und B<LDFLAGS> hinzu.
=back
=head2 hardening (Härtung)
Mehrere Kompilierzeit-Optionen (nachfolgend beschrieben) können dazu verwandt werden, ein erstelltes Programm gegen Speicherverfälschungsangriffe zu härten, oder zusätzliche Warnungsmeldungen während der Übersetzung auszugeben. Sie werden für Architekturen, die diese unterstützen, standardmäßig aktiviert; die Ausnahmen sind unten angegeben.
=over
=item B<format>
Diese Einstellung (seit Dpkg 1.16.1; standardmäßig aktiviert) fügt B<-Wformat -Werror=format-security> zu B<CFLAGS>, B<CXXFLAGS> B<CXXFLAGS>, B<OBJCFLAGS> und B<OBJCXXFLAGS> hinzu. Damit erhalten Sie Warnungen bei inkorrekter Verwendung von Formatzeichenketten. Es wird zu einem Fehler führen, wenn Formatfunktionen deart verwandt werden, dass daraus ein mögliches Sicherheitsproblem werden könnte. Derzeit warnt dies bei Aufrufen von B<printf>- und B<scanf>-Funktionen, bei denen die Formatzeichenkette nicht eine reine Zeichenkette ist und es keine Formatargumente gibt, wie in B<printf(foo);> statt B<printf("%s", foo);>. Dies könnte ein Sicherheitsproblem sein, falls die Formatzeichenkette aus einer nicht vertrauenswürdigen Eingabe stammt und „%n“ enthält.
=item B<fortify>
Diese Einstellung (seit Dpkg 1.16.1; standardmäßig aktiviert) fügt B<-D_FORTIFY_SOURCE=2> zu B<CPPFLAGS> hinzu. Während der Code-Erstellung hat der Compiler umfangreiche Informationen über Puffergrößen (wo möglich) und versucht, unsichere unbegrenzte Pufferfunktionsaufrufe durch längenbegrenzte zu ersetzen. Das ist besonders für alten, verkramten Code nützlich. Zusätzlich werden Formatzeichenketten in schreibbarem Speicher, die ‚%n’ enthalten, blockiert. Falls eine Anwendung von solchen Formatzeichenketten abhängt, müssen dafür andere Lösungsmöglichkeiten gefunden werden.
Beachten Sie, dass die Quellen auch mit B<-O1> oder höher übersetzt werden müssen, damit diese Option einen Effekt hat. Falls die Umgebungsvariable B<DEB_BUILD_OPTIONS> I<noopt> enthält, dann wird die Unterstützung von B<fortify> aufgrund neuer Warnungen von Glibc 2.16 und neuer deaktiviert.
=item B<stackprotector>
Diese Einstellung (seit Dpkg 1.16.1; standardmäßig aktiviert falls „stackprotectorstrong“ nicht verwandt wird) fügt B<-fstack-protector --param=ssp-buffer-size=4> zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> hinzu. Dies fügt Sicherheitsprüfungen gegen die Überschreibung des Stapelspeichers (Stacks) hinzu. Damit werden viele mögliche Code-Einfügeangriffe zu Abbruchsituationen. Im besten Fall werden damit Code-Einfügungsangriffe zu Diensteverweigerungsangriffen oder zu keinen Problemen (abhängig von der Anwendung).
Diese Funktionalität benötigt das Linken mit Glibc (oder einem anderen Anbieter von B<__stack_chk_fail>). Sie muss daher deaktiviert werden, wenn mit B<-nostdlib> oder B<-ffreestanding> oder Ähnlichem gebaut wird.
=item B<stackprotectorstrong>
Diese Einstellung (seit Dpkg 1.17.11; standardmäßig aktiviert) fügt B<-fstack-protector-strong> zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> hinzu. Dies ist eine stärkere Variante von B<stackprotector>, allerdings ohne signifikante Einbußen bei der Leistung.
Deaktivierung von B<stackprotector> deaktiviert auch diese Einstellung.
Diese Funktionalität stellt die gleichen Anforderungen wie B<stackprotector> und benötigt zusätzlich GCC 4.9 oder neuer.
=item B<stackclash>
Diese Einstellung (seit Dpkg 1.22.11; standardmäßig aktiviert) fügt B<-fstack-clash-protection> auf B<amd64>, B<arm64>, B<armhf> und B<armel> zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> hinzu. Dies ergänzt Code, um Stack-Konflikt-artige Angriffe zu verhindern.
=item B<branch>
Diese Einstellung (seit Dpkg 1.22.0; standardmäßig aktiviert) fügt B<-fcf-protection> auf B<amd64> und B<-mbranch-protection=standard> auf B<arm64> zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> hinzu. Dies ergänzt Branch-Schutz zu indirekten Aufrufen, Sprüngen und Rückkehrwerten, um zu prüfen, ob diese zur Laufzeit gültig sind.
=item B<relro>
Diese Einstellung (seit Dpkg 1.16.1; standardmäßig aktiviert) fügt B<-Wl,-z,relro> zu B<LDFLAGS> hinzu. Während des Ladens des Programms müssen mehrere ELF-Speicherabschnitte vom Binder (Linker) geschrieben werden. Diese Einstellung signalisiert dem Ladeprogramm, diese Abschnitte in nur-Lese-Zugriff zu ändern, bevor die Steuerung an das Programm übergeben wird. Insbesondere verhindert dies GOT-Überschreibeangriffe. Falls diese Option deaktiviert ist, wird auch B<bindnow> deaktiviert.
=item B<bindnow>
Diese Einstellung (seit Dpkg 1.16.1; standardmäßig deaktiviert) fügt B<-Wl,-z,now> zu B<LDFLAGS> hinzu. Während des Ladens des Programms werden alle dynamischen Symbole aufgelöst, womit das gesamte PLT nur-lesend markiert werden kann (aufgrund von B<relro> oben). Diese Option kann nicht aktiviert werden, falls B<relro> nicht aktiviert ist.
=item B<pie>
Diese Einstellung (seit Dpkg 1.16.1; seit Dpkg 1.18.23 ohne globale Vorgabe, da sie jetzt standardmäßig durch GCC auf den Debian-Architekturen Amd64, Arm64, Armel, Armhf, Hurd-i386, I386, Kfreebsd-amd64, Kfreebsd-i386, Mips, Mipsel, Mips64el, Powerpc, PPC64, PPC64el, Riscv64, S390x, Sparc und Sparc64 aktiviert ist) fügt, falls benötigt, die benötigten Optionen, um PIE zu aktivieren oder zu deaktivieren, über GCC-Spezifikationsdateien hinzu, abhängig davon, ob GCC auf diesen Architekturen die Schalter selbst einspeist oder nicht. Wenn die Einstellung aktiviert ist und GCC den Schalter einspeist, fügt dies nichts hinzu. Wenn die Einstellung aktiviert ist und GCC den Schalter nicht einspeist, dann fügt es B<-fPIE> (mittels I<%PKGDATADIR%/pie-compiler.specs>) zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> und B<-fPIE -pie> (mittels I<%PKGDATADIR%/pie-link.specs>) zu B<LDFLAGS> hinzu. Wenn die Einstellung deaktiviert ist und GCC den Schalter einspeist, dann fügt es B<-fno-PIE> (mittels I<%PKGDATADIR%/no-pie-compile.specs>) zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> und B<-fno-PIE -no-pie> (mittels I<%PKGDATADIR%/no-pie-link.specs>) zu B<LDFLAGS> hinzu.
„Position Independent Executable“ (positionsunabhängige Programme) (PIE) ist benötigt, um „Address Space Layout Randomization“ (Bereitstellung eines zufälligen Adressbereichlayouts) (ASLR) auszunutzen, der von einigen Kernelversionen bereitgestellt wird. Während ASLR bereits für Datenbereiche auf dem Stapel (Stack) und Heap erzwungen werden kann (brk und mmap), müssen die Codebereiche positionsunabhängig übersetzt werden. Laufzeitbibliotheken machen dies bereits (B<-fPIC>), so dass sie ASLR automatisch erhalten, aber Programm-.text-Regionen müssen als PIE gebaut werden, um ASLR zu erhalten. Wenn dies passiert, sind ROP- (Return Oriented Programming) Angriffe sehr viel schwerer durchzuführen, da es keine statischen Orte mehr gibt, zu denen während eines Speicherverfälschungsangriffs hingesprungen werden könnte.
PIE ist nicht zu B<-fPIC> kompatibel, daher müssen Sie beim Bau von Laufzeitbibliotheksobjekten im Allgemeinen Vorsicht walten lassen. Da aber der ausgegebene PIE-Schalter mittels GCC-Spezifikationsdateien hinzugefügt wird, sollte es immer sicher sein, sie bedingungslos zu setzen, unabhängig von dem Objekttyp, der übersetzt oder gelinkt wird.
Statische Bibliotheken können von jedem Programm und anderen statischen Bibliotheken benutzt werden. Abhängig von den zum Kompilieren aller Objekte innerhalb einer statischen Bibliothek verwandten Schaltern können diese Bibliotheken von verschiedenen Gruppen von Objekten verwandt werden:
=over
=item keine
Kann weder in ein PIE-Programm noch in eine Laufzeitbibliothek gelinkt werden.
=item B<-fPIE>
Kann in jedes Programm, aber nicht in eine Laufzeitbibliothek gelinkt werden (empfohlen).
=item B<-fPIC>
Kann in jedes Programm und jede Laufzeitbibliothek gelinkt werden.
=back
Falls es notwendig ist, diese Schalter manuell zu setzen und die GCC-Spezifikations-Hinzufügung zu umgehen, müssen mehrere Dinge beachtet werden. Die bedingungslose und explizite Übergabe von B<-fPIE>, B<-fpie> oder B<-pie> an das Bausystem mit Libtool ist sicher, da diese Schalter entfernt werden, wenn Laufzeit-Bibliotheken gebaut werden. Andernfalls könnte es bei Projekten, die sowohl Programme wie auch Laufzeit-Bibliotheken bauen, notwendig sein, dass Sie beim Bau der Laufzeit-Bibliotheken sicherstellen, dass B<-fPIC> immer als Letztes an die Kompilierungsschalter wie B<CFLAGS> übergeben wird (so dass es jedes frühere B<-PIE> außer Kraft setzen kann) und B<-shared> als Letztes an Link-Schalter wie B<LDFLAGS> übergeben wird (so dass es jedes frühere B<-pie> außer Kraft setzen kann). B<Hinweis>: Das sollte mit der Vorgabe-GCC-Spezifikationsmaschinerie nicht notwendig sein.
Zusätzlich können auf einigen Architekturen mit sehr wenigen Registern (dazu gehört aber i386 nicht mehr, seitdem in GCC E<gt>= 5 Optimierungen erfolgten) Leistungsverluste von bis zu 15% in sehr text-Segment-lastigen Anwendungsfällen auftreten, da PIE über allgemeine Register implementiert ist; in den meisten Anwendungsfällen sind dies weniger als 1%. Architekturen mit mehr allgemeinen Registern (z.B. Amd64) erfahren nicht diese Schlimmstfall-Strafe.
=back
=head2 reproducible (Reproduzierbarkeit)
Die Kompilierzeit-Optionen (nachfolgend beschrieben) können dazu verwandt werden, die Reproduzierbarkeit zu verbessern oder zusätzliche Warnungsmeldungen während der Übersetzung auszugeben. Sie werden für Architekturen, die diese unterstützen, standardmäßig aktiviert; die Ausnahmen sind unten angegeben.
=over
=item B<timeless>
Diese (seit Dpkg 1.17.14; standardmäßig aktivierte) Einstellung fügt B<-Wdate-time> zu B<CPPFLAGS> hinzu. Dies führt zu Warnungen, wenn die Makros B<__TIME__>, B<__DATE__> und B<__TIMESTAMP__> verwandt werden.
=item B<fixfilepath>
Diese Einstellung (seit Dpkg 1.19.1; standardmäßig aktiviert) fügt B<-ffile-prefix-map=>I<BUILDPATH>B<=.> zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> hinzu, wobei B<BUILDPATH> auf das oberste Verzeichnis des bauenden Pakets gesetzt wird. Dies führt dazu, dass der Baupfad aus allen erstellten Dateien entfernt wird.
Falls sowohl B<fixdebugpath> als auch B<fixfilepath> gesetzt sind, hat diese Option Vorrang, da sie eine Obermenge erster ist.
B<Hinweis>: Falls der Bauprozess die Bauschalter in die resultierenden gebauten Objekte erfasst, dann wird das Paket nicht mehr reproduzierbar. Die Deaktivierung dieser Option könnte einige der Objekte wieder reproduzierbar machen, würde dafür aber auch die Deaktivierung von B<fixdebugpath> benötigen, wodurch sämtliche erstellten Fehlersuchsymbole nicht mehr reproduzierbar wären. Die beste Korrektur besteht darin, die Bauschalter nicht mehr zu erfassen.
=item B<fixdebugpath>
Diese Einstellung (seit Dpkg 1.18.5; standardmäßig aktiviert) fügt B<-fdebug-prefix-map=>I<BUILDPATH>B<=.> zu B<CFLAGS>, B<CXXFLAGS>, B<OBJCFLAGS>, B<OBJCXXFLAGS>, B<FFLAGS> und B<FCFLAGS> hinzu, wobei B<BUILDPATH> auf das oberste Verzeichnis des bauenden Pakets gesetzt wird. Dies führt dazu, dass der Baupfad aus allen erstellten Debug-Symbolen entfernt wird.
B<Hinweis>: Dies Funktion hat ähnliche Reproduzierbarkeitseigenschaften wie B<fixfilepath>.
=back
=head1 UMGEBUNG
Es gibt zwei Gruppen von Umgebungsvariablen, die den gleichen Vorgang durchführen. Der erste (DEB_I<Schalter>_I<Vorg>) sollte niemals innerhalb von B<debian/rules> verwandt werden. Er ist für Benutzer gedacht, die das Quellpaket mit anderen Bauschaltern erneut bauen möchten. Der zweite Satz (DEB_I<Schalter>_MAINT_I<Vorg>) sollte nur durch Paketbetreuer in B<debian/rules> verwandt werden, um die entstehenden Bauschalter zu ändern.
=over
=item B<DEB_>I<Schalter>B<_SET>
=item B<DEB_>I<Schalter>B<_MAINT_SET> (seit Dpkg 1.16.1)
Diese Variable kann zum Erzwingen des für I<Schalter> zurückgegebenen Werts verwandt werden.
=item B<DEB_>I<Schalter>B<_STRIP> (seit Dpkg 1.16.1)
=item B<DEB_>I<Schalter>B<_MAINT_STRIP> (seit Dpkg 1.16.1)
Diese Variable kann zum Bereitstellen einer durch Leerzeichen getrennten Liste von Optionen verwandt werden, die aus dem Satz von I<Schalter> zurückgelieferten Schaltern entfernt werden.
=item B<DEB_>I<Schalter>B<_APPEND>
=item B<DEB_>I<Schalter>B<_MAINT_APPEND> (seit Dpkg 1.16.1)
Diese Variable kann zum Anhängen ergänzender Optionen zum Wert, der von I<Schalter> zurückgegeben wird, verwandt werden.
=item B<DEB_>I<Schalter>B<_PREPEND> (seit Dpkg 1.16.1)
=item B<DEB_>I<Schalter>B<_MAINT_PREPEND> (seit Dpkg 1.16.1)
Diese Variable kann zum Voranstellen ergänzender Optionen zum Wert, der von I<Schalter> zurückgegeben wird, verwandt werden.
=item B<DEB_BUILD_OPTIONS>
=item B<DEB_BUILD_MAINT_OPTIONS> (seit Dpkg 1.16.1)
Diese Variablen können von Benutzern oder Betreuern zum Deaktivieren oder Aktivieren verschiedener Bereichsfunktionalitäten benutzt werden, die Bauschalter beeinflussen. Die Variable B<DEB_BUILD_MAINT_OPTIONS> setzt jede Einstellung in den Funktionalitätsbereichen B<DEB_BUILD_OPTIONS> außer Kraft. Lesen Sie den Abschnitt L</FUNKTIONALITÄTSBEREICHE> für weitere Details.
=item B<DEB_VENDOR>
Diese Einstellung definiert den aktuellen Lieferanten. Falls nicht gesetzt, wird er aus B<%PKGCONFDIR%/origins/default> ermittelt.
=item B<DEB_BUILD_PATH>
Diese Variable setzt den Baupfad (seit Dpkg 1.18.8), der in Funktionalitäten wie B<fixdebugpath> verwandt wird, so dass sie durch den Aufrufenden gesteuert werden können. Diese Variable ist derzeit spezifisch für Debian und Derivative.
=item B<DEB_HOST_ARCH>
Setzt die Host-Architektur. Dies betrifft die ausgegebenen Bausschalter, die typischerweise für das Cross-Bauen relevant sind, bei dem sich B<DEB_HOST_ARCH> von B<DEB_BUILD_ARCH> unterscheidet.
=item B<DPKG_COLORS>
Setzt den Farbmodus (seit Dpkg 1.18.5). Die derzeit unterstützten Werte sind: B<auto> (Vorgabe), B<always> und B<never>.
=item B<DPKG_NLS>
Falls dies gesetzt ist, wird es zur Entscheidung, ob Native Language Support, auch als Unterstützung für Internationalisierung (oder i18n) bekannt, aktiviert wird (seit Dpkg 1.19.0). Die akzeptierten Werte sind: B<0> und B<1> (Vorgabe).
=back
=head1 DATEIEN
=head2 Konfigurationsdateien
=over
=item B<%PKGCONFDIR%/buildflags.conf>
Systemweite Konfigurationsdatei
=item B<$XDG_CONFIG_HOME/dpkg/buildflags.conf> oder
=item B<$HOME/.config/dpkg/buildflags.conf>
Benutzerkonfigurationsdatei
=back
=head2 Paketierungsunterstützung
=over
=item B<%PKGDATADIR%/buildflags.mk>
Make-Steuerdateischnipsel, das alle von B<dpkg-buildflags> unterstützten Schalter in Variablen laden (und optional exportieren) wird. (seit Dpkg 1.16.1)
=back
=head1 BEISPIELE
Um Bauschalter an einen Baubefehl in einer Make-Steuerdatei zu übergeben:
=over
$(MAKE) $(shell dpkg-buildflags --export=cmdline)
./configure $(shell dpkg-buildflags --export=cmdline)
=back
Um Bauschalter in einem Shell-Skript oder Shell-Fragement zu setzen, kann B<eval> verwendet werden, um die Ausgabe zu interpretieren und die Schalter in die Umgebung zu exportieren:
=over
eval "$(dpkg-buildflags --export=sh)" && make
=back
Oder die Positionsparameter zu setzen, die an einen Befehl übergeben werden sollen:
=over
eval "set -- $(dpkg-buildflags --export=cmdline)"
for dir in a b c; do (cd $dir && ./configure "$@" && make); done
=back
=head2 Verwendung in debian/rules
Sie sollten B<dpkg-buildflags> aufrufen oder B<buildflags.mk> in die Datei B<debian/rules> einbinden, um die benötigten Bauschalter, die an das Bausystem weitergegeben werden sollen, abzufragen. Beachten Sie, dass ältere Versionen von B<dpkg-buildpackage> (vor Dpkg 1.16.1) diese Variablen automatisch exportierten. Allerdings sollten Sie sich nicht darauf verlassen, da dies den manuellen Aufruf von B<debian/rules> nicht korrekt ermöglicht.
Für Pakete mit Autoconf-artigen Bausystemen können Sie die relevanten Optionen direkt wie oben gezeigt an Configure oder L<make(1)> übergeben.
Für andere Bausysteme oder wenn Sie feiner granulierte Steuerung benötigen (welcher Schalter wo weitergegeben wird), können Sie B<--get> verwenden. Oder Sie können stattdessen B<buildflags.mk> einbinden, das sich um den Aufruf von B<dpkg-buildflags> kümmert und die Bauschalter in Make-Variablen speichert.
Falls Sie alle Bauschalter in die Umgebung exportieren möchten (wo sie dann vom Bausystem eingelesen werden können):
=over
DPKG_EXPORT_BUILDFLAGS = 1
include %PKGDATADIR%/buildflags.mk
=back
Für zusätzliche Steuerung, was exportiert wird, können Sie die Variablen manuell exportieren (da keine standardmäßig exportiert werden):
=over
include %PKGDATADIR%/buildflags.mk
export CPPFLAGS CFLAGS LDFLAGS
=back
Und natürlich können Sie die Schalter manuell an Befehle weitergeben:
=over
include %PKGDATADIR%/buildflags.mk
build-arch:
$(CC) -o hello hello.c $(CPPFLAGS) $(CFLAGS) $(LDFLAGS)
=back
=head1 ÜBERSETZUNG
Die deutsche Übersetzung wurde 2004, 2006-2024 von Helge Kreutzmann
<debian@helgefjell.de>, 2007 von Florian Rehnisch <eixman@gmx.de> und
2008 von Sven Joachim <svenjoac@gmx.de>
angefertigt. Diese Übersetzung ist Freie Dokumentation; lesen Sie die
GNU General Public License Version 2 oder neuer für die Kopierbedingungen.
Es gibt KEINE HAFTUNG.
|