Enquanto o Fedora 42 ainda está a caminho (com lançamento previsto para meados de abril de 2025), a comunidade do Fedora já está de olho no futuro. O Fedora 43, que deve chegar no final de outubro ou início de novembro deste ano, pode trazer uma grande novidade: a transição para o RPM 6, a próxima versão do sistema de gerenciamento de pacotes usado em distribuições baseadas no Red Hat Enterprise Linux (RHEL). Essa mudança promete reforçar a segurança e introduzir melhorias, mas o que isso significa para os usuários? Vamos explorar os detalhes.
Entendendo o RPM 6
O RPM (Red Hat Package Manager) é o coração do gerenciamento de pacotes em distribuições como Fedora, RHEL e CentOS. Ele é responsável por instalar, atualizar e remover pacotes de software, garantindo que tudo funcione de forma integrada e segura. A versão atual, RPM 4.20, já é robusta, mas o RPM 6 traz uma série de aprimoramentos focados em segurança e usabilidade.
A proposta de incluir o RPM 6 no Fedora 43 ainda precisa ser aprovada pelo Fedora Engineering Steering Committee (FESCo), o comitê responsável por decisões técnicas importantes no projeto. No entanto, as expectativas são altas, e a mudança parece estar bem encaminhada.
Um dos principais benefícios do RPM 6 é o foco em segurança. A partir dessa versão, a verificação de assinaturas será habilitada por padrão. Isso significa que apenas pacotes assinados e verificados poderão ser instalados no sistema. Pacotes sem assinatura ou que tenham sido adulterados serão bloqueados, a menos que o usuário explicitamente desative essa proteção usando opções de linha de comando, como –nosignature.
Essa mudança é um grande passo para evitar a instalação de software potencialmente comprometido. No entanto, usuários avançados ainda terão a flexibilidade de contornar essas verificações, se necessário. A recomendação, porém, é adotar práticas mais seguras, como importar chaves confiáveis ou configurar assinaturas automáticas para pacotes locais.
Outra melhoria significativa no RPM 6 é o gerenciamento de chaves OpenPGP. Em vez de usar IDs curtos de chaves, que podem causar colisões (ou seja, duas chaves diferentes com o mesmo ID), o RPM 6 passará a usar impressões digitais ou IDs completos das chaves. Isso torna o processo de verificação mais confiável e seguro.
Além disso, o RPM 6 introduz suporte para múltiplas assinaturas por pacote. Isso não apenas aumenta a segurança, mas também abre caminho para futuras implementações, como assinaturas pós-quânticas, que serão essenciais à medida que a computação quântica avança.
Embora o Fedora 43 continue usando o formato de pacote v4 por padrão, o RPM 6 traz suporte experimental para o novo formato v6. Desenvolvedores e usuários avançados poderão testar o formato v6, mas a maioria dos usuários não notará diferenças imediatas.
Para o usuário comum, a transição para o RPM 6 não deve ser percebida. Instalações e atualizações de pacotes continuarão funcionando como antes, mas com a vantagem de verificações de segurança mais rigorosas. A principal mudança será a recusa em instalar pacotes não verificados, o que pode exigir que os usuários importem chaves confiáveis ou ajustem configurações locais.
Para desenvolvedores e administradores de sistemas, algumas adaptações podem ser necessárias, especialmente em scripts e ferramentas de terceiros que lidam com assinaturas e chaves.
Apesar do otimismo, a equipe do Fedora tem um plano de contingência. Caso problemas imprevistos surjam durante o desenvolvimento, o Fedora 43 pode reverter para o RPM 4.20 antes do congelamento da versão beta. No entanto, essa é considerada uma medida extrema, já que o RPM 6 está passando por testes rigorosos e recebendo feedback constante da comunidade.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: assine nossa newsletter!