Вплив інциденту з Arch AUR на інші проекти Open Source

Проблеми, що торкнулися Arch’s AUR минулого тижня, починають впливати на інші проекти з відкритим кодом. Це сприяло посиленню заходів безпеки. Компанія Determinate Systems запровадила семиденну затримку для оновлень Nixpkgs у своєму дистрибутиві Determinate Nix. Причиною став ризик, що виникає через ланцюг постачання, який став актуальним внаслідок нещодавнього інциденту з шкідливим ПЗ.

Що таке Determinate Nix і як це вплине на користувачів

Варто уточнити, що Determinate Systems є окремою компанією від проекту NixOS. Вона спеціалізується на комерційних та розробницьких інструментах для Nix, таких як Determinate Nix, FlakeHub і послуги безпеки пакетів. Це рішення впливає на Determinate Nix, дистрибутив для Linux, macOS, WSL та CI/CD систем, але не на NixOS або upstream Nixpkgs.

Зміни в оновленнях Nixpkgs

Канал nixpkgs-weekly продовжить щотижневе оновлення. Однак тепер він прийматиме upstream Nixpkgs ревізії лише після того, як вони були опубліковані протягом семи днів. Determinate Systems прагне надати проміжок часу для виявлення критичних проблем або шкідливих змін до того, як оновлення надійдуть до користувачів.

Причини нових заходів безпеки

Це рішення зумовлене нещодавньою кампанією шкідливого ПЗ в Arch User Repository. Тоді сотні шкідливих пакетів піддавали користувачів атакам через ланцюг постачання. Компанія Determinate Systems зазначає, що Nixpkgs піддається подібним ризикам, оскільки багато утримувачів можуть зливати свої власні pull requests без необхідного рецензування.

Посилення заходів безпеки для спільноти

Компанія описує цей охолоджувальний період як практичне зменшення ризиків, а не повне рішення. Затримка нових ревізій Nixpkgs дозволяє спільноті виявити підозрілу активність, перш ніж оновлення стануть доступними за замовчуванням.

Впровадження нових змін

Нова затримка вже активована за замовчуванням для всіх користувачів Determinate Nix. Flakes, які використовують стандартний nixpkgs flake реєстр у Determinate Nix, автоматично отримають затримані оновлення Nixpkgs.

Користувачі за межами Determinate Nix

Користувачі, які не використовують Determinate Nix, можуть вручну приєднатися до затриманого каналу, перенаправивши свій flake input на джерело nixpkgs-weekly компанії Determinate. Компанія також почала дублювати NixOS 26.05 через окремий затриманий канал.

Важливість рецензування в Nixpkgs

Важливо зазначити, що це не є офіційна зміна політики NixOS. Upstream Nixpkgs не запровадив обов’язкову семиденну затримку. Зміна потоку оновлень стосується лише дистрибутиву та каналів компанії Determinate Systems.

Крім того, Determinate Systems закликає проект NixOS вимагати рецензування для злиття утримувачами Nixpkgs. Компанія усвідомлює, що це може уповільнити швидкість злиття на початковому етапі, але вважає, що це допоможе усунути суттєву прогалину в безпеці.

Для додаткової інформації перегляньте офіційне оголошення.