Neues von openSUSE
In den vergangenen Tagen gab es einige neue Nachrichten von openSUSE und Tumbleweed. Auf der News-Seite von openSUSE verkündet das Projekt einen großen Fortschritt in deren Unterfangen für Reproducible Builds (RBOS).
Bereits seit vielen Jahren arbeiten verschiedene Distributionen an Projekten mit dem Ziel Reproducible Builds. Der Gedanke dahinter: wird ein Paket aus dem gleichen Quellcode mit den gleichen Werkzeugen gebaut, so sollen die daraus resultierenden Pakete immer bitgenau gleich sein. Hört sich einfach an, ist es aber nicht. Das liegt unter anderem daran, daß viele Build-Werkzeuge Daten wie Uhrzeit und Datum des Builds in nicht deterministischer Form aufzeichnen. Um solche Abweichungen zu erkennen, wurden unter anderem Tools wie diffoscope entwickelt.
Bei den Distributionen nimmt Debian seit 2015 unter der Federführung von Holger Levsen eine Vorreiterrolle im Hinblick auf überprüfbare Pakete ein. Die dabei geschaffene Infrastruktur in Jenkins greifen mittlerweile andere Distributionen ebenso auf wie die Werkzeuge zum Lösen von Problemen und Überprüfen der Ergebnisse. So können etwa Fedora, OpenSuse oder Arch Linux die Ergebnisse von Debian verifizieren und umgekehrt.
Bernhard Wiedemann, der seit fast zehn Jahren an Reproducible Builds im Projekt RBOS bei openSUSE arbeitet, erhielt für vier Monate finanzielle Unterstützung der NLnet-Stiftung, um in Vollzeit den jetzt vermeldeten Meilenstein zu erreichen.
Wiedemann erstellte in der Zeit einen Fork von openSUSE mit zu 100 % reproduzierbaren Paketen. Dazu wurden 3.300 Pakete getestet und gepatched. Das Ergebnis soll mit der Zeit in das openSUSE Factory-Repository einfließen. Wer den Fork testen möchte, lädt sich das 175 MByte große Image mit
Bereits seit dem Sommer des vergangenen Jahres geplant und nun mit Snapshot 20250211 umgesetzt wurde der Umstieg von openSUSE Tumbleweed von AppArmor auf SELinux. Beides sind sogenannte MACs, was für Mandatory Access Control, also Zugriffskontrolle, steht. Das bei der NSA und bei Red Hat entwickelte SELinux besteht aus einem Kernel-Patch und vielen Erweiterungen für Systemprogramme. Es soll die Sicherheit gegenüber AppArmor erhöhen, da mehr Dienste standardmäßig eingeschränkt werden. Zudem nutzen SUSE und openSUSE dann künftig die gleiche MAC.
Nähere Informationen über die Implementierung bei MicroOS und jetzt auch bei Tumbleweed sind im Portal:SELinux nachzulesen. Bestehende Installationen sind von der Änderung nicht betroffen, neue Installationen können zu AppArmor zurückkehren. openSUSE Leap 15.x ist von der Änderung nicht betroffen, Neuinstallationen des im Jahresverlauf erwarteten Leap 16 allerdings schon.
openSUSE Leap Release Manager Luboš Kocman hat auf einer Mailingliste eine Vorankündigung gemacht, die darauf abzielt, mit SLES 16 und Leap 16 nur noch UEFI als Bootoption anzubieten und den Legacy-BIOS-Support fallen zu lassen. Da beide infrage kommenden Veröffentlichungen eine x86_64-v2 CPU voraussetzen, rechnet Kocman damit, daß alle unterstützten Geräte UEFI nutzen. Die Resonanz in den Kommentaren ist zunächst überwiegend ablehnend.