Fedora 44: Зміна, що підвищує безпеку пакетів RPM

Розробники Fedora запропонували системну зміну для Fedora 44, яка забезпечить перевірку підписів пакетів RPM за замовчуванням. Ця ініціатива спрямована на підвищення безпеки в програмному забезпеченні. Проте, пропозиція наразі чекає на розгляд та схвалення Комітету керівництва з інженерії Fedora (FESCo).

Впровадження нових стандартів RPM 6.0

Якщо зміна буде ухвалена, Fedora дотримуватиметься стандартів RPM 6.0, які дозволять встановлювати лише пакети з перевіреними криптографічними підписами. Фактично, це означає, що користувачі не зможуть встановити непідписані RPM, якщо не скасують процес перевірки з параметром --nosignature або відповідним викликом API.

Автор пропозиції, Пану Матіллінен з Red Hat, підкреслив:

“Традиційна поведінка RPM <= 4.x полягала в тому, щоб перевіряти підписи, якщо вони присутні та перевірені, але ніколи не вимагати їх. Така поведінка могла бути прийнятною у дев’яностих, але не відповідає очікуванням сучасної безпеки.”

Переваги нової системи для користувачів

Команда Fedora зазначає, що менеджер пакетів DNF5 (версія 5.2.14 або новіша) вже має можливість відключення підпису для окремих пакетів. Це дозволяє інструментам, таким як mock та COPR, продовжувати створення та тестування непідписаних пакетів без перешкод для робочих процесів.

Більш того, локально побудовані пакети за допомогою rpmbuild також буде легше підписувати автоматично завдяки новій підтримці RPM 6.0 для підпису ключів без паролю через сценарій налаштування (/usr/lib/rpm/rpm-setup-autosign).

Як зміна вплине на користувачів Fedora

Для більшості користувачів Fedora ця зміна не повинна суттєво вплинути на роботу. Офіційні репозиторії та COPR-будівлі вже використовують підписані пакети. Проте, розробникам, які покладаються на непідписані локальні пакети, можливо, доведеться скоригувати свої робочі процеси, підписуючи свої збірки або використовуючи явні відхилення.

Пропозиція пройде етап громадського обговорення перед розглядом FESCo, ключового керівного органу в проекті Fedora, який контролює різні технічні рішення, пов’язані з розвитком дистрибутива. Якщо буде ухвалено, зміна потрапить до Fedora 44, що очікується наступної весни. Інакше, її можуть відкласти на наступне видання, наприклад, Fedora 45.

Для отримання детальної інформації про пропозицію, відвідайте [пропозицію](https://discussion.fedoraproject.org/t/f44-change-proposal-enforcing-signature-checking-by-default-systemwide/169774) та дізнайтеся більше про [RPM 6.0](https://linuxiac.com/rpm-6-0-package-manager-released-with-new-package-format/).