A FreeBSD Alapítvány október 27-én bejelentette, hogy sikeresen megvalósította a teljes rendszer root jogosultság nélküli fordítását. A fejlesztés célja az volt, hogy a FreeBSD kiadási folyamatát biztonságosabbá, átláthatóbbá és automatizálhatóbbá tegye. Az új infrastruktúra a Sovereign Tech Agency finanszírozásának köszönhetően valósult meg, és mostantól minden forráskiadás buildelése root jogosultság nélkül végezhető, a teljes kiadási láncban megszüntetve az emelt szintű hozzáférés szükségességét. A módosítások jelenleg a FreeBSD fejlesztői ágában érhetők el, de a lehetőségekhez mérten a 15.0 kiadási ágba is integrálásra kerülnek.
Tartalomjegyzék
Biztonságosabb és egyszerűbb build folyamat
A FreeBSD kiadási artefaktumainak előállítása mostantól nem igényel root hozzáférést sem az eszközfájlok létrehozásához, sem a tulajdonjogok beállításához vagy a fájlrendszerek csatolásához. Ez jelentősen csökkenti a biztonsági kockázatokat, miközben leegyszerűsíti az automatizált fordításokat. Az új folyamat minden típusú kiadási képet támogat, beleértve a kettős üzemmódú ISO-kat USB és CD/DVD telepítőkhöz, a memstick formátumú indítható meghajtókat, a virtuális gépekhez készült lemezképeket és a felhőalapú disk image-eket AWS, Azure és más platformok számára. Az, hogy a build pipeline már nem igényel root jogokat, jelentősen csökkenti a támadási felületet és a jogosultság-kiterjesztés kockázatát. Ez a fejlesztés biztonságosabb és rugalmasabb fordítási környezetet biztosít mind a hivatalos infrastruktúra, mind a közösségi közreműködők számára.
Reprodukálható build a teljes átláthatóságért
A rootmentesítés mellett a FreeBSD fejlesztői több kulcsfontosságú változtatást vezettek be a build reprodukálhatóságának javítása érdekében. A cél, hogy azonos forráskód mindig pontosan azonos bináris kimenetet eredményezzen, bájtról bájtra egyezően. Ehhez normalizálták az időbélyegeket, stabilizálták a fájllisták és a csomagmetadatok sorrendjét, egységesítették a fordítási környezeteket – beleértve a hibakeresési útvonalakat és a lokalizációs beállításokat is –, valamint bővítették az olyan eszközök támogatását, mint a mkimg fájlrendszerkép-készítő. Az új rendszer növeli az ellátási lánc integritását és átláthatóságát, megkönnyíti a hibakeresést, az auditálást és a folyamatos integrációt, továbbá támogatja a hosszú távú karbantarthatóságot. A FreeBSD automatikus build rendszerei mostantól korlátozott konténerekben is működhetnek, a fejlesztők pedig saját gépükön, emelt jogosultság nélkül is képesek teljes rendszerkiadásokat építeni. További információk a FreeBSD weboldalán a bejelentésben olvashatóak.
