Ricerca nel sito web

Fedora Linux 43 per la funzionalità RPM 6

Fedora Linux 43 potrebbe essere fornito con RPM 6, offrendo funzionalità di sicurezza avanzate come il controllo forzato delle firme e firme multiple per pacchetto.

Fedora 42 non è ancora uscito: il lancio è previsto per poco più di un mese, intorno a metà aprile. Tuttavia, gli sviluppatori stanno già guardando avanti e definendo i piani per la versione 43, che dovrebbe arrivare entro la fine dell'anno, probabilmente a fine ottobre o inizio novembre.

Alla luce di ciò, Fedora sta valutando un'importante transizione a RPM 6 (un sistema di gestione dei pacchetti utilizzato nelle distribuzioni Linux basate su RHEL) nella sua prossima versione 43. Come riferimento, Fedora 41 attualmente utilizza RPM 4.20, che non cambierà in Fedora 42.

Sebbene questa proposta rimanga soggetta all'approvazione del Fedora Engineering Steering Committee (FESCo), un organo di governo chiave all'interno del Fedora Project che supervisiona varie decisioni tecniche relative allo sviluppo della distribuzione, è già sul tavolo e ha tutto ciò di cui ha bisogno per diventare realtà.

Cosa ne ricavano gli utenti? Una parola: sicurezza. RPM 6 viene fornito con il controllo della firma attivato per impostazione predefinita, garantendo che possano essere installati solo pacchetti verificati positivamente. In altre parole, gli utenti non saranno più in grado di installare pacchetti non firmati o manomessi senza scegliere esplicitamente di ignorare le misure di sicurezza del sistema.

Mentre gli utenti esperti possono ancora bypassare i controlli con le opzioni della riga di comando e modificare alcune impostazioni per mantenere i flussi di lavoro esistenti, i manutentori di RPM incoraggiano le persone ad adottare pratiche più sicure, come l'importazione di chiavi fidate o l'utilizzo della firma automatica.

Inoltre, RPM 6 mira a introdurre un approccio semplificato alla gestione delle chiavi. Invece di fare affidamento su ID di chiave brevi soggetti a collisioni, farà riferimento alle chiavi OpenPGP tramite impronta digitale o ID chiave completo. Questa modifica dovrebbe alleviare il fastidioso problema delle collisioni di chiavi che ha occasionalmente afflitto gli ID brevi.

Un altro grosso problema è che RPM 6 pone le basi per il futuro supporto del formato del pacchetto v6 (il supporto per il formato v3 verrà abbandonato). Mentre Fedora 43 continuerà a essere utilizzato per la generazione di pacchetti v4, quindi gli utenti di tutti i giorni non dovranno preoccuparsi di cambiamenti immediati di formato, gli early adopter e gli sviluppatori di terze parti saranno in grado di sperimentare il nuovo formato.

Sotto il cofano, RPM 6 apre anche le porte a meccanismi di firma alternativi, tra cui Sequoia-sq, che può fungere da sostituto immediato di GnuPG.

Quindi, cosa significa tutto questo per gli utenti? Le installazioni e gli aggiornamenti quotidiani dei pacchetti in Fedora 43 dovrebbero procedere per lo più come al solito, con l'aggiunta della tranquillità che i controlli di sicurezza vengono applicati fin dall'inizio.

Vale anche la pena ricordare che, secondo la roadmap, RPM 6 è ancora in fase di sviluppo, con la prima versione stabile di RPM 6.0 prevista per il Q3 2025. Ciò non lascia agli sviluppatori di Fedora molto tempo per integrarlo nella versione stabile finale di Fedora 43.

Tuttavia, se dovessero emergere ostacoli imprevisti, il team di Fedora ha un piano di emergenza: tornare a RPM 4.20 entro il congelamento della beta. Ma questo ripiego sembra improbabile, dati i test approfonditi che tipicamente accompagnano le versioni RPM, oltre al costante ciclo di feedback degli sviluppatori Fedora e dei membri della comunità.

Per ulteriori informazioni, consultare la proposta stessa.