GNU Guix 1.2 geht mit neuer Authentifizierungs-Option auf Nummer sicher

Inhaltsverzeichnis

GNU Guix, eine funktionale Paketverwaltungs-Software für das GNU-Betriebssystem, feiert ihren achten Geburtstag und ist sieben Monate nach dem letzten Release in Version 1.2 erschienen. Wichtigste Neuerung dürfte die Fähigkeit sein, Kanäle kryptographisch zu authentifizieren, wodurch Guix zu einer der sichersten Methoden zum Bereitstellen von Betriebssystemen werden soll.

Kryptografie und Mehrsprachigkeit

Das aktuelle Release umfasst außer Änderungen an der Bereitstellung und einigen neuen Schnittstellen auch ein erweitertes Referenz-Handbuch, das neben Englisch mittlerweile vollständig übersetzt auf Französisch, Deutsch und Spanisch vorliegt. Übersetzungen in elf weitere Sprachen laufen, und die Übersetzungen ins Russische und Chinesische sind offenbar am weitesten fortgeschritten.

Mit der Authentifizierung von Kanälen zum Bereitstellen schließt das quelloffene GNU-Projekt, das hinter der Paketverwaltung steht, laut Blogeintrag die offenbar gröbste Lücke in der "Software-Lieferkette": guix pull und verwandte Befehle können nun ausschließlich autorisierte Commits in das offizielle Guix-Repository abrufen. Der Code jedes autorisierten Kanals durchläuft beim Abruf eine Verschlüsselung. Mit dem neuen Befehl guix git authenticate soll sich der Authentifizierungs-Mechanismus für jegliches Git-Repository nutzen lassen.

Weitere Sicherheitsthemen und neue Paket-Optionen

Der Build Daemon und die origin-Programmierschnittstelle nehmen neuerdings weitere kryptographische Hash-Funktionen an, insbesondere SHA-3 und BLAKE2s. Zuvor hatte Guix sich bei Quellcode ausschließlich auf SHA256-Hashes gestützt. Die neue Version von Guix versucht zudem System-Downgrades aufzuspüren, um Sicherheitslücken durch das Zurücksetzen auf ältere Betriebssystemversionen zu verhindern. Flankierend dazu laufen ab Guix 1.2 automatische Aktualisierungen (Unattended Upgrade Service) mit dem Befehl guix pull && guix system reconfigure, die Nutzer nicht mehr einzeln und manuell auslösen müssen.

In der Kommandozeile ziehen drei neue Optionen zur Paket-Transformation ein: --with-debug-info, --with-c-toolchain[--without-tests/code] und [code]--without-tests. Das Profil zeichnet Transformationen auf und sie lassen sich mit guix upgrade erneut wiedergeben. Diese Änderungen betreffen den ganzen Abhängigkeitsbaum inklusive der "impliziten" Eingaben, die sich bislang nicht transformieren ließen. Das Modul (guix transformations) hält eine Schnittstelle für die Transformations-Möglichkeiten in der Kommandozeile bereit. Nutzerseitig gibt es in der Guix-Hilfe nun einen Überblick über die verfügbaren Befehle, der Guix-Pull hat einen Fortschrittsbalken erhalten und durch einen neuen, schlankeren "Baseline-Compiler" soll der Pull-Prozess weniger Ressourcen benötigen.

Hintergrund zu GNU Guix und Installationswege

GNU Guix ist ein funktionaler Paketmanager und eine in der Entwicklung fortgeschrittene Distribution des GNU-Systems. Neben den Standardfunktionen einer klassischen Paketverwaltung unterstützt Guix auch Upgrades, Rollbacks, Paketverwaltung ohne Zuteilung von Privilegien, Per-User Profiles und bietet einen Garbage Collector. Guix lässt sich auf jedem System betreiben, auf dem der Linux-Kernel läuft, es kann aber auch als eigenständiges Betriebssystem zum Einsatz kommen auf Geräten mit geeigneten Prozessorkernen (wie i686, x86_64, ARM7 und AArch64). Als eigenständige GNU/Linux-Distribution bietet Guix einen deklarativen, zustandslosen Ansatz zur Verwaltung der Betriebssystem-Konfiguration. Durch Guile-Programmierschnittstellen und Erweiterungen gilt Guix als besonders anpassbar.

Mehr Informationen zum aktuellen Release lassen sich dem Blogeintrag bei GNU Guix entnehmen. Die aktuelle Version des Paketmanagers Guix lässt sich im Downloadbereich des GNU-Projekts herunterladen. Mehr Informationen zur Distribution stehen auf der Projekt-Website zur Verfügung.

(sih)