SLE y openSUSE avanzan con las compilaciones reproducibles
Lo planteamos a finales del año pasado: 2018 podría ser el año del Linux “reproducible”, lo cual supondría un avance realmente importante, un antes y un después en la confianza -ya muy alta de por sí- que los sistemas basados en Linux ofrecen a sus usuarios. Sin embargo, la cosa va a ir más lenta de lo que cabría esperar, a pesar de que cada vez son más las distribuciones que trabajan activamente en ello.
Como sabéis, los sistemas reproducibles aluden a la comprobación de la construcción de los mismos a partir del código fuente de cada paquete. El término más apropiado en este caso es el de compilaciones reproducibles, pues de eso se trata: de comprobar que, en efecto, cada paquete ha sido creado a partir del código fuente de ese paquete, algo que ya es posible hasta cierto punto, pero no del todo.
Tomemos como ejemplo cualquiera de las grandes distribuciones Linux actuales: basta con instalarla y usarla, no es necesario compilar nada previamente. El problema con este método es que no ofrece la certeza absoluta de que esos paquetes precompilados no puedan haber sido alterados y se corresponden con el código fuente de los mismos. Así es como entran en juego las compilaciones reproducibles.
En esencia, es importante que el código fuente de los paquetes esté bien auditado, como es importante que se pueda comprobar de manera fácil y fehaciente que los paquetes ya compilados proceden del mismo código fuente.
La distribución que más ha avanzado por el momento en este tema es Debian, aunque sigue atascada en un 93% desde hace muchos meses (y solo para x86_64). Otras que también están por la labor son Arch Linux, Fedora o Tails, así como sistemas no Linux como FreeBSD e incluso aplicaciones como Tor Browser, distribuidores de aplicaciones para Android como la popular tienda F-Droid o tecnologías como Bitcoin.
También openSUSE está en ese camino desde hace tiempo y según informan en el blog de SUSE, avanzan a buen ritmo. Además, tratándose de la distribución comunitaria de SUSE, que en las ramas Factory (el repositorio de testeo) y Tumbleweed hace las veces de banco de pruebas para la creación de SUSE Linux Enterprise (SLE) y openSUSE Leap, la característica beneficiará a todas las vertientes del sistemas del camaleón.
En el artículo de SUSE comentan otras ventajas de las compilaciones reproducibles más allá de intrínseca, así como los desafíos que plantean. En todo caso queda bastante trabajo pro delante y se espera que vaya más lento, “porque todas las soluciones fáciles ya están hechas“. Pero se atreven a presagiar la conclusión del proceso “tal vez para SLE 16“, lo que apunta para 2022 como pronto.