El proyecto openSUSE acaba de anunciar un nuevo hito en la consecución de noble, pero complicado objetivo que propone el concepto de las compilaciones reproducibles, un salto importante para GNU/Linux como sistema operativo que nunca parece terminar de concretarse. Con todo, el trabajo continúa y ahora Tumbleweed, la rama rolling-release de la distribución, facilita ya dicha tarea.
Según cuentan en openSUSE News, «la configuración para construir openSUSE Factory se cambió para que sea reproducible bit a bit (excepto la firma incrustada). Después de esto, se verificó que los primeros paquetes de openSUSE Tumbleweed eran reproducibles bit a bit«. Así pues, se acaban de asentar las bases para una futura construcción reproducible del sistema, directamente desde el canal Factory, donde se compilan y prueban los paquetes que más tarde llegarán a la versión estable.
Comienza ahora el camino para construir el sistema de acuerdo a la nueva coyuntura técnica: «llevará algún tiempo realizar esta verificación para todos los paquetes para ver cuántos paquetes son reproducibles», explican, ya que pese a que el nuevo procedimiento es más eficaz que el anterior, no hay nada asegurado. Se espera que mejore el 95% conseguido previamente, eso sí, lo cual no está nada mal.
El problema, firmas al margen, es alcanzar el cien por cien, una meta fijada hacer años, pero que se sigue resistiendo a las distribuciones que están en ello: Debian va por el 96%, Arch Linux por el 89%… Todo ello, claro, dependiendo de qué se desee reproducir, pues siempre hay repositorios con paquetes muy populares que lo complican todo. Sin ir más lejos, el propio kernel Linux, que en su forma predeterminada incluye componentes necesarios, pero incompatibles con la idea.
De hecho, llegamos a considerar en su momento que 2018 podría ser el año del Linux reproducible, a causa de la relevancia que se le dio a este aspecto. Ese mismo año hablamos de los avances de SUSE Linux Enterprise y openSUSE en la materia. Pero, como resulta evidente más de un lustro después, no se logró el objetivo.
Como señalábamos entonces, las compilaciones reproducibles comprenden la comprobación de la construcción del sistema a partir del código fuente de cada paquete. En esencia, se trata de permitir al usuario reproducir el proceso de compilación de todos los paquetes a partir de su código fuente, de manera que pueda detectar si existen alteraciones, garantizando así la integridad, seguridad y calidad de los mismos.
Sin duda, una meta importante que, más pronto -esperemos- que tarde debe conquistar Linux… aunque tampoco sea la panacea, ojo: te la pueden colar en el código fuente y te la cuelan igual, si bien una cosa no quita la otra. La cuestión es que, sin existir la seguridad absoluta, cuantos más procedimientos y herramientas se pongan en favor de esta, mejor para todos.