Debian обязал разработчиков доказывать «чистоту» своего кода
Система миграции Debian начала автоматически блокировать пакеты, которые не проходят тест воспроизводимости.
Разработчики Linux Debian решили ужесточить контроль качества пакетов и впервые сделали воспроизводимые сборки обязательным требованием для новых обновлений. Команда сопровождения дистрибутива сообщила, что система миграции пакетов уже начала блокировать программы, которые не удаётся собрать повторно с идентичным результатом.
Инициатива стала продолжением работы проекта Reproducible Builds, который много лет продвигает идею проверяемых сборок. Подход позволяет убедиться, что опубликованный пакет действительно собран из открытого исходного кода и не содержит скрытых изменений. Для проверки Debian использует сервис reproduce.debian.net.
Новые правила затронули как свежие пакеты, так и уже существующие в ветке testing. Если обновление ухудшает воспроизводимость сборки, система автоматически остановит его продвижение в репозиторий.
Команда Debian также рассказала о другом изменении в инфраструктуре. С начала года система тестирования стала автоматически запускать проверки autopkgtest для binNMU-пересборок, которые раньше проходили менее строгий контроль. Разработчики называют этот шаг дополнительной мерой повышения надёжности дистрибутива.
Ещё одним заметным событием стало добавление архитектуры loong64 в основной архив Debian. Из-за требований многоплатформенной совместимости проекту пришлось пересобрать большое количество пакетов сразу для всех архитектур. На фоне новых автоматических проверок очередь непрерывной интеграции заметно выросла, поэтому сопровождающих пакетов попросили запастись терпением.
Команда сопровождения Debian также напомнила разработчикам, что после публикации исходного пакета ответственность за успешную миграцию обновления лежит на авторе загрузки. Если пакет блокируют ошибки в зависимостях, сопровождающий должен самостоятельно заводить критические отчёты об ошибках. Эксперты давно указывают, что именно такой контроль снижает риски атак на цепочку поставок и предотвращает внедрение скрытых изменений в бинарные пакеты, как это случилось в инциденте с XZ Utils.