Parecía que 2018 podría ser el año del Linux “reproducible”, lo
cual supondría un avance realmente importante, un antes y un después en la
confianza -ya muy alta de por sí- que los sistemas basados en Linux ofrecen a
sus usuarios. Sin embargo, la cosa va a ir más lenta de lo que cabría esperar,
a pesar de que cada vez son más las distribuciones que trabajan activamente en
ello.
Como sabéis, los
sistemas reproducibles aluden a la comprobación de la construcción de los
mismos a partir del código fuente de cada paquete. El término más apropiado en
este caso es el de compilaciones reproducibles, pues de eso se trata: de
comprobar que, en efecto, cada paquete ha sido creado a partir del código
fuente de ese paquete, algo que ya es posible hasta cierto punto, pero no del
todo.
Tomemos como ejemplo
cualquiera de las grandes distribuciones Linux actuales: basta con instalarla y
usarla, no es necesario compilar nada previamente. El problema con este método
es que no ofrece la certeza absoluta de que esos paquetes precompilados no
puedan haber sido alterados y se corresponden con el código fuente de los
mismos. Así es como entran en juego las compilaciones reproducibles.
En esencia, es
importante que el código fuente de los paquetes esté bien auditado, como es
importante que se pueda comprobar de manera fácil y fehaciente que los paquetes
ya compilados proceden del mismo código fuente.
La distribución que
más ha avanzado por el momento en este tema es Debian, aunque sigue atascada en
un 93% desde hace muchos meses (y solo para x86_64). Otras que también están
por la labor son Arch Linux, Fedora o Tails, así como sistemas no Linux como
FreeBSD e incluso aplicaciones como Tor Browser, distribuidores de aplicaciones
para Android como la popular tienda F-Droid o tecnologías como Bitcoin.
También openSUSE está
en ese camino desde hace tiempo y según informan en el blog de SUSE, avanzan a
buen ritmo. Además, tratándose de la distribución comunitaria de SUSE, que en
las ramas Factory (el repositorio de testeo) y Tumbleweed hace las veces de
banco de pruebas para la creación de SUSE Linux Enterprise (SLE) y openSUSE
Leap, la característica beneficiará a todas las vertientes del sistemas del
camaleón.
En el artículo de
SUSE comentan otras ventajas de las compilaciones reproducibles más allá de
intrínseca, así como los desafíos que plantean. En todo caso queda bastante
trabajo pro delante y se espera que vaya más lento, “porque todas las
soluciones fáciles ya están hechas“. Pero se atreven a presagiar la conclusión
del proceso “tal vez para SLE 16“, lo que apunta para 2022 como pronto.
Fuente: Muy Linux.com