В Arch Linux появилась поддержка цифровых подписей пакетов
Разработчики дистрибутива Arch Linux сообщили об интеграции менеджера пакетов pacman 4.0.0 в базовую систему. Кроме исправления ошибок и нескольких новых возможностей, новая версия включает в себя уже много лет ожидаемую функцию проверки цифровых подписей пакетов.Краткий список изменений в pacman 4.0.0:
- Система проверки цифровых подписей пакетов, интегрированная в pacman, смежные библиотеки и скрипты. Для управления ключами подготовлена утилита pacman-key;
- Опция '--recursive' для обновления пакета и всех его зависимостей;
- Значительное улучшение документации, генерируемой Doxygen;
- Утилита pacsort, предназначенная для сортировки пакетов по версиям;
- Множество исправлений ошибок и оптимизаций.
Особое место в этом списке занимает первый пункт, а точнее история, которая за ним стоит. Еще в сентябре 2006 года в системе багтрекинга дистрибутива был опубликован тикет с сообщением о необходимости добавить поддержку цифровых подписей в pacman. Ключевых разработчиков реализация этой идеи не заинтересовала, поэтому дальше разговоров дело не доходило и даже присланный в 2008 году патч с начальной реализацией цифровых подписей не изменил ситуацию. Со временем его разработчик просто потерял интерес и пропал.
Скандальную известность ситуация приобрела после появления на LWN статьи, посвященной рассказу о борьбе человека с ником IgnorantGuru с "непроходимостью" разработчиков Arch Linux, которые якобы игнорировали все его доводы в пользу цифровых подписей и не принимали патчей. Однако, как пояснил в своем блоге Дэн МакГи (Dan McGee), главный разработчик pacman, никаких патчей IgnorantGuru не присылал и занимался только тем, что давил на сообщество, у которого и без того не было достаточно ресурсов чтобы наконец закончить работу по интеграции патча 2008 года.
Как бы там ни было, работа по интеграции патча постепенно продолжалась и разработчики наконец-то добавили в четвертый релиз pacman поддержку проверки достоверности источника пакетов на основании цифровой подписи. Таким образом, отныне пользователи получили инструмент для проверки, собран ли загруженный с произвольного зеркала пакет непосредственно разработчиками дистрибутива и поставляется ли он в неизменном виде.
© OpenNet