Los desarrolladores de la distribución Arch Linux anunciaron que han recibido una inversión de 562 mil euros del STF (Sovereign Tech Fund), creado en Alemania para estimular el desarrollo de infraestructura digital abierta y ecosistemas de código abierto. El fondo fue creado con fondos proporcionados por el Ministerio Alemán de Asuntos Económicos y Protección del Clima y está supervisado por la Agencia Federal para la Innovación Disruptiva SPRIND. Se han asignado fondos para modernizar el conjunto de herramientas de gestión de paquetes ALPM (Arch Linux Package Management), que desarrolla especificaciones, utilidades y bibliotecas para resolver problemas como la creación y el uso de paquetes, así como la gestión de repositorios.
El proyecto intenta estructurar interfaces relacionadas con la gestión de paquetes y proporcionar utilidades y marcos escritos en el lenguaje de programación Rust. Las especificaciones y utilidades desarrolladas por el proyecto se basan en la funcionalidad de Pacman. La transición al lenguaje Rust después de usar el lenguaje C en Pacman se explica por una disminución en la probabilidad de cometer errores al trabajar con la memoria. El objetivo de la iniciativa es integrar en el soporte de ALPM todas las capacidades para administrar repositorios y crear/verificar/instalar paquetes, además de proporcionar funcionalidad que pueda reemplazar algunas de las capacidades del administrador de paquetes Pacman.
Está previsto que los fondos asignados se utilicen para financiar el trabajo de 4 desarrolladores en el proyecto ALPM a tiempo parcial durante 15 meses. Las obras comenzaron en octubre y se prolongarán hasta finales de 2025. Entre las tareas que se prevé resolver como parte del trabajo que se realiza se mencionan las siguientes:
- Cree especificaciones formales para los formatos de datos utilizados en los paquetes. En su forma actual, los paquetes Arch Linux utilizan tipos de metadatos y archivos indocumentados o mal documentados. Pretenden resumir información sobre la estructura de bajo nivel de los paquetes en forma de especificaciones versionadas que regulan explícitamente todos los tipos de archivos y metadatos válidos.
- Introducción de un mecanismo simplificado para verificar artefactos de paquetes mediante firmas digitales, basado en el uso de OpenPGP, pero no vinculado al antiguo almacenamiento centralizado de claves GnuPG.
- Proporciona una biblioteca Rust para crear, verificar e instalar paquetes individuales que cumplan con especificaciones formales que definen explícitamente contenidos de paquetes válidos y métodos para crearlos y procesarlos.
- Proporcionar una biblioteca Rust para la gestión de paquetes en el sistema (procesando el estado del conjunto de paquetes que componen el sistema). Para compatibilidad con aplicaciones más antiguas que utilizan la biblioteca libalpm (por ejemplo, la utilizada en pacman), está previsto proporcionar un enlace C-API.
- Preparar una pila OpenPGP independiente de la distribución y compatible con PGPKI (Web of Trust) para verificar los artefactos de distribución. En lugar de GnuPG, planean utilizar alternativas en el lenguaje Rust.
Fuente: opennet.ru