Разработчики дистрибутива Arch Linux сообщили об интеграции менеджера пакетов pacman 4.0 в базовую систему. Кроме исправления ошибок и нескольких новых возможностей, новая версия включает в себя уже много лет ожидаемую функцию проверки цифровых подписей пакетов.

Краткий список изменений в pacman 4.0:

  • Система проверки цифровых подписей пакетов, интегрированная в pacman, смежные библиотеки и скрипты. Для управления ключами подготовлена утилита pacman-key;
  • Опция '--recursive' для обновления пакета и всех его зависимостей;
  • Значительное улучшение документации, генерируемой Doxygen;
  • Утилита pacsort, предназначенная для сортировки пакетов по версиям;
  • Значительное ускорение работы;
  • Множество исправлений ошибок и оптимизаций.

Особое место в этом списке занимает первый пункт, а точнее история, которая за ним стоит. Еще в сентябре 2006 года в системе багтрекинга дистрибутива был опубликован тикет с сообщением о необходимости добавить поддержку цифровых подписей в pacman. Ключевых разработчиков реализация этой идеи не заинтересовала, поэтому дальше разговоров дело не доходило и даже присланный в 2008 году патч с начальной реализацией цифровых подписей не изменил ситуацию. Со временем его разработчик просто потерял интерес и пропал.

Скандальную известность ситуация приобрела после появления на LWN статьи, посвященной рассказу о борьбе человека с ником IgnorantGuru с "непроходимостью" разработчиков Arch Linux, которые якобы игнорировали все его доводы в пользу цифровых подписей и не принимали патчей. Однако, как пояснил в своем блоге Дэн МакГи (Dan McGee), главный разработчик pacman, никаких патчей IgnorantGuru не присылал и занимался только тем, что давил на сообщество, у которого и без того не было достаточно ресурсов чтобы наконец закончить работу по интеграции патча 2008 года.

Как бы там ни было, работа по интеграции патча постепенно продолжалась и разработчики наконец-то добавили в четвертый релиз pacman поддержку проверки достоверности источника пакетов на основании цифровой подписи. Таким образом, отныне пользователи получили инструмент для проверки, собран ли загруженный с произвольного зеркала пакет непосредственно разработчиками дистрибутива и поставляется ли он в неизменном виде. По состоянию на середину декабря цифровыми подписями были снабжены все пакеты в репозитории core, примерно 75% пакетов в репозитории extra и 45% в репозитории community. Для инициализации системы проверки по цифровым подписям пользователю необходимо выполнить "pacman-key --init".

Источник: http://www.opennet.ru/opennews/art.shtml?num=32835