Richard Hughes, desenvolvedor de mantenedor do utilitário de atualização de firmware fwupd, anunciou que as próximas versões não utilizarão mais a biblioteca XZ Utils. O fwupd está presente nas mais importantes distros Linux, como o Arch, Debian, Ubuntu, Fedora, RHEL e openSUSE.
A decisão foi tomada devido à grande quebra de confiança que o código malicioso encontrado na biblioteca XZ Utils causou em toda a comunidade Linux. No anúncio de Hughes, ele conta que o metadado do fwupd é um arquivo XML com o tamanho de 9,5 MB. Até 2021, ele era distribuído comprimido utilizando a tecnologia gzip, reduzindo o tamanho para 1.6MB. A mudança para o XZ ocorreu por algumas facilidades técnicas, além de conseguir comprimir o metadado para 1,1 MB.
Embora faça pouca diferença na velocidade de download para a maioria dos usuários, tamanha redução no tamanho dos metadados baixados diariamente por milhões de pessoas reduz consideravelmente o trafego nos servidores.
Como alternativa ao XZ Utils, Richard Hughes escolheu o Zstandard, também conhecido como zstd, que também provê compressão sem perda de dados, conseguindo ser mais rápido na descompressão e eficiente na compressão, gerando arquivos cerca de 3% menores do que o XZ.
Apesar dos benefícios técnicos, Hughes admite que a principal razão para a mudança é que ele confia mais no zstd do que no XZ. O Zstandard foi criado por um engenheiro de software da Meta chamado Yann Collet, distribuído sob licença BSD, sendo mantido e cuidado de perto pela big tech.
Algumas distros já utilizam o zstd como meio de compressão para os pacotes distribuídos em seus repositórios. Um exemplo é o Arch Linux, que adotou o zstd em outubro de 2019 com o lançamento do Pacman 5.2, abandonando completamente o XZ em janeiro de 2020.
Para evitar problema similar ao que aconteceu com o XZ Utils, Hughes iniciou uma discussão na página do GitHub do fwupd sugerindo começarem a exigir que os commits sejam assinados, facilitando rastrear a origem de possíveis códigos maliciosos, mas ainda não chegaram a uma conclusão.
Fique por dentro das principais novidades da semana no mundo do Linux e do open source, assine nossa newsletter!
