Nas últimas duas décadas, o software gerenciador de pacotes RPM contou com sua própria implementação de analisador OpenPGP para lidar com chaves e assinaturas de pacotes. Com o Fedora 38, eles planejam mudar seu pacote RPM para usar o analisador “Sequoia” escrito em Rust.
A própria implementação do analisador OpenPGP do RPM tem sido um fardo de manutenção e redundante quando existem analisadores com suporte melhor. O upstream RPM tem trabalhado para depreciar o analisador interno em favor da mudança para o Sequoia PGP.
Nos últimos 20 anos, o RPM usou um analisador OpenPGP desenvolvido internamente para lidar com chaves e assinaturas. Esse analisador é bastante famoso por suas limitações e falhas e, especialmente nos últimos anos, provou ser um fardo significativo para o desenvolvimento do RPM. A fim de melhorar a segurança e liberar os recursos do desenvolvedor para lidar com o “negócio principal” do RPM, o upstream do RPM está no processo de depreciar o analisador interno em favor da solução baseada em Sequoia PGP escrita em Rust. Neste ponto, a mudança é praticamente invisível no uso diário normal.
Sequoia é um analisador OpenPGP baseado em Rust
Sequoia PGP é uma biblioteca OpenPGP e com escrita em Rust é focada em segurança e correção entre seus princípios de design.
Os desenvolvedores do Fedora estão ansiosos para mudar para esse RPM com o Sequoia PGP e esperam ver tudo pronto para o Fedora 38. Mudar para este analisador OpenPGP adequado deve levar a uma maior segurança e conformidade com os padrões. Eventualmente, isso também levará a melhores mensagens de erro e outras melhorias possíveis.
O principal benefício direto para o Fedora é a segurança aprimorada e a conformidade com os padrões (RFC-4880) em um dos pilares de toda a distribuição. A longo prazo, podemos esperar melhores mensagens de erro e outras melhorias funcionais relacionadas ao manuseio de chaves e assinaturas.
Esta mudança para o Fedora 38 ainda está sendo discutida através da lista de discussão devel e precisa ser assinada pelo Fedora Engineering and Steering Committee. Aqueles que desejam aprender mais sobre o esperançoso recurso RPM Sequoia para F38 no próximo ano podem ver esta página Wiki para todos os detalhes.