Разработчики дистрибутива Arch Linux сообщили [3] об интеграции менеджера пакетов pacman 4.0 [4] в базовую систему. Кроме исправления ошибок и нескольких новых возможностей, новая версия включает в себя уже много лет ожидаемую функцию проверки цифровых подписей пакетов.
Краткий список изменений [5] в pacman 4.0:
Особое место в этом списке занимает первый пункт, а точнее история, которая за ним стоит. Еще в сентябре 2006 года в системе багтрекинга дистрибутива был опубликован тикет [7] с сообщением о необходимости добавить поддержку цифровых подписей в pacman. Ключевых разработчиков реализация этой идеи не заинтересовала, поэтому дальше разговоров дело не доходило и даже присланный в 2008 году патч с начальной реализацией цифровых подписей не изменил ситуацию. Со временем его разработчик просто потерял интерес и пропал.
Скандальную известность ситуация приобрела после появления на LWN статьи [8], посвященной рассказу о борьбе человека с ником IgnorantGuru с "непроходимостью" разработчиков Arch Linux, которые якобы игнорировали все его доводы в пользу цифровых подписей и не принимали патчей. Однако, как пояснил в своем блоге [9] Дэн МакГи (Dan McGee), главный разработчик pacman, никаких патчей IgnorantGuru не присылал и занимался только тем, что давил на сообщество, у которого и без того не было достаточно ресурсов чтобы наконец закончить работу по интеграции патча 2008 года.
Как бы там ни было, работа по интеграции патча постепенно продолжалась и разработчики наконец-то добавили в четвертый релиз pacman поддержку проверки достоверности источника пакетов на основании цифровой подписи. Таким образом, отныне пользователи получили инструмент для проверки, собран ли загруженный с произвольного зеркала пакет непосредственно разработчиками дистрибутива и поставляется ли он в неизменном виде. По состоянию [10] на середину декабря цифровыми подписями были снабжены все пакеты в репозитории core, примерно 75% пакетов в репозитории extra и 45% в репозитории community. Для инициализации системы проверки по цифровым подписям пользователю необходимо [6] выполнить "pacman-key --init".
Ссылки:
[1] http://htfl.ru/cat-news-archlinux
[2] http://htfl.ru/cat-news-novosti-os
[3] /out.php?link=http://www.archlinux.org/news/pacman-4-moves-to-core/
[4] /out.php?link=http://www.archlinux.org/pacman/
[5] /out.php?link=http://projects.archlinux.org/pacman.git/tree/NEWS
[6] /out.php?link=https://wiki.archlinux.org/index.php/Pacman-key_%28%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9%29
[7] /out.php?link=https://bugs.archlinux.org/task/5331
[8] /out.php?link=http://lwn.net/Articles/434990/
[9] /out.php?link=http://www.toofishes.net/blog/real-story-behind-arch-linux-package-signing/
[10] /out.php?link=http://allanmcrae.com/2011/12/pacman-package-signing-4-arch-linux/