CMake configuration for reproducible builds of C++ projects with gcc/Linux

-
This is a quick guide for configuring CMake such that every rebuild of the same C++ code generates bit-by-bit identical binaries. This is useful in verifying if a given binary is indeed generated from the given sources and comes in handy for configuration control. This article is not a detailed documentation on the reasons or mechanisms that cause binaries to differ from build to build nor the rationale behind the countermeasures explained in great detail. That information is already covered elsewhere and a few helpful links are provided in the end. This post is made because all of this information was not available in one place.

In general, the same C++ code should generate the same executable (or library) every time it is compiled using the same build system on the same platform. But in practice, several factors cause the final binaries to differ. There are a few things developers need to take care of to avoid these:

  1. Eliminate differences due to build path.

    target_compile_options(projfoo PUBLIC "-ffile-prefix-map=${CMAKE_SOURCE_DIR}=.")

  2.  Generate compile errors if macros like __DATE__ are used in the code.

    target_compile_options(projfoo PUBLIC "-Werror=date-time")

  3. Use filename as gcc's random seed (instead of random numbers) when it needs to generate unique symbol names

    foreach(_file ${SOURCES})
        set_property(SOURCE ${_file} APPEND_STRING PROPERTY COMPILE_FLAGS "-frandom-seed=${_file}")
    endforeach()

  4. For static library projects (.a), pass 'D' arguments to ar and ranlib for deterministic output

    set(CMAKE_CXX_ARCHIVE_CREATE "<CMAKE_AR> qcD <TARGET> <LINK_FLAGS> <OBJECTS>")
    set(CMAKE_CXX_ARCHIVE_FINISH "<CMAKE_RANLIB> -D <TARGET>")
Notes
 
  • Point no. 2: if macros such as __DATE__, __TIME__ etc. cannot be avoided in the code, then setting the environment variable SOURCE_DATE_EPOCH can force them to deterministic fixed values.
  • Point no. 3: The value for -frandom-seed needs to be unique for each source file. Some examples use a hash of the file contents. But if your project does not have source files with the same name, then the file name should suffice. This way, adding comments in the source files will not change the argument values. The example here assumes that the CMake project file has all the source files added to a CMake variable named SOURCES.
  • Point no. 4: This is required only for projects that generate a static library file (libfoo.a). For C projects, use CMAKE_C_... instead of CXX equivalents in the example.

These instructions are specifically for gcc & Linux. Please refer to the other articles linked here for more comprehensive documentation.

 
References
 
 
All comments are most welcome.

Comments

Post a Comment

Popular posts from this blog

Qt - Enabling qDebug messages and Qt Creator

-
I have been struggling for the past two hours to get qDebug() messages from my Qt 5 application to show up on the 'Application output' pane in Qt Creator IDE on Linux. Finally I found a solution, thanks to a user on Qt IRC channel. To enable log messages in Qt, do the following: Edit ~/.config/QtProject/qtlogging.ini and make sure it has: [Rules] *.debug=true qt.*.debug=false With this, I was getting the messages when I run the application from a terminal. But Qt Creator was not showing the qDebug() messages. To have the messages displayed in Qt Creator, do the following: Qt creator > Tools > Options > Kits, select your kit, find Environment, click change and add: QT_ASSUME_STDERR_HAS_CONSOLE=1 This fixed the problem for me. I thought I should document the full process here as Google wasn't getting me good leads. My environment: Fedora 29 Linux x86-64 Qt 5.11.3 Qt Creator v4.7.2 References: https://bugzilla.redhat.com/show_bug.cgi?id=12272
Read more

പേര്

-
Image
ഒരു പേരിലെന്തിരിക്കുന്നു എന്ന് പലരും ചോദിക്കറുണ്ടല്ലോ.. പക്ഷേ ചില കുട്ടികളുടെ പേരുകള്‍ കേട്ടാല്‍ ഇത്രയും വേണമായിരുന്നോ എന്ന് തോന്നിപ്പോകും. ഈയടുത്ത് ഒരാള്‍ 'മൃത്യു' എന്ന് പേരുള്ള ഒരു കുട്ടിയെ പരിചയപ്പെട്ടു എന്ന് പറഞ്ഞുകേട്ടു. ഏതാണ്ട് ഒരു കൊല്ലം മുമ്പ് ഞാനും ഭാര്യയും ഞങ്ങള്‍ക്ക് ജനിക്കാനിരിക്കുന്ന കുഞ്ഞിന്റെ പേര് തപ്പിനടക്കുകയായിരുന്നു. സ്കാനിങ്ങ് ചെയ്തപ്പോഴൊന്നും കുട്ടി ആണാണോ പെണ്ണാണോ എന്നൊന്നും ഞങ്ങള്‍ അന്വേഷിച്ചില്ല. പക്ഷേ യാതൊരു അടിസ്ഥാനവുമില്ലാത്ത ഏതോ തോന്നല്‍ കാരണം കുട്ടി പെണ്ണ് തന്നെ എന്ന് ഞങ്ങള്‍ ഉറപ്പിച്ചു. എന്റെ പേരന്വേഷണത്തിലുള്ള ചൂടില്ലായ്മയെ പഴിച്ച് പ്രിയതമ കൊണ്ടുപിടിച്ച അന്വേഷണം തുടങ്ങി. അദ്ദേഹത്തിന് ഒരുപാട് നിബന്ധനകള്‍ ഉണ്ടായിരുന്നു. ആരും കേട്ടിട്ടുള്ള പേരായിരിക്കരുത്, S, U, Vമുതലായ അക്ഷരമാലയില്‍ അവസാനത്തില്‍ വരുന്ന അക്ഷരങ്ങളില്‍ തുടങ്ങരുത് മുതലായ കഠിനമായ നിബന്ധനകള്‍. അങ്ങനെ ഇടയ്ക്കിടയ്ക്ക് ഇദ്ദേഹം ഓരോ പേരുകള്‍ കണ്ടുപിടിച്ച് കൊണ്ടുവരും. ഒട്ടുമിക്ക പേരുകളും ഞാന്‍ വീറ്റോ ചെയ്തുകളയും. ഇത് വായിക്കുമ്പോള്‍ നിങ്ങള്‍ക്ക് ഒരു പക്ഷേ ഞാന്‍ ചെയ്തത് ശരിയായില്ല എന്ന്
Read more

ബിഗ് റേഡിയോ ഇതിഹാസം

-
ഇന്ന് തിരുവനന്തപുരത്ത് 92.7 ബിഗ് എഫ്എം റേഡിയോ പരിപാടിയില്‍ കേട്ടത്..  പരിപാടി: " സ്വീറ്റ് ആന്‍സി " അവതരിപ്പിക്കുന്ന റിക്വസ്റ്റ് രാഗ, യെസ് ഓര്‍ നോ ഗെയിം ... സ്വീആ: ഹലോ, ആരാ വിളിക്കുന്നത്?  റസാക്ക് സ്വീആ: റസാക്ക് അല്ലേ.. "റസാക്കിന്റെ ഇതിഹാസം" വായിച്ചിട്ടുണ്ടോ? റസാക്ക്: ഇല്ല സ്വീആ: എന്താ റസാക്കേ, സ്വന്തം പേരില്‍ ഒരു പുസ്തകമൊക്കെ ഉള്ളപ്പോള്‍ അത് വായിക്കണ്ടേ? റസാക്ക്: ങേ? ... സ്വീആ: അപ്പോള്‍ റസാക്കിനും റസാക്കിന്റെ ഇതിഹാസം ഇഷ്ടപ്പെടുന്ന വായനക്കാര്‍ക്കും വേണ്ടി ഈ പാട്ട് ഡെഡിക്കേറ്റ് ചെയ്യുന്നു... ...  വാല്‍:  മഹാനായ എഴുത്തുകാരന്‍ പിണറായി വിജയന്‍ എഴുതിയ "റസാക്കിന്റെ ഇതിഹാസം" എന്നോ മറ്റോ പറയാതിരുന്നത് തന്നെ ഭാഗ്യം ...  ചോദ്യം: 'ചങ്ങമ്പുഴ' എന്ന കവിത എഴുതിയത് ആരാണ്? ഉത്തരം: അങ്ങനെയൊരു കവിതയുണ്ടെങ്കില്‍ അതെഴുതിയത് രമണനായിരിക്കും! (കടപ്പാട്: കണ്ട് മറന്ന ഒരു പഴയ മലയാളം സിനിമ)
Read more