RPM (Red Hat Package Manager) è da decenni uno degli strumenti fondamentali per la gestione dei pacchetti software su Linux, utilizzato da distribuzioni come Fedora, RHEL, openSUSE e CentOS.
Con il rilascio della versione 6.0, RPM compie un passo importante verso una maggiore sicurezza, flessibilità e modernizzazione del proprio ecosistema. La novità più rilevante è il supporto per più firme OpenPGP per singolo pacchetto, una funzionalità che apre nuove possibilità per la verifica dell’integrità e dell’autenticità del software distribuito.
Questa release arriva dopo un lungo periodo di sviluppo e test, con l’obiettivo di rendere RPM più robusto, interoperabile e adatto alle esigenze moderne di distribuzione software, sia in ambienti desktop che server.
Firme OpenPGP multiple: più sicurezza e trasparenza
Tradizionalmente, RPM supportava una sola firma digitale per pacchetto, limitando la possibilità di validazione incrociata da parte di più entità. Con RPM 6.0, è ora possibile includere più firme OpenPGP, permettendo a team di sviluppo, maintainer e distributori di firmare lo stesso pacchetto con chiavi diverse. Questo approccio migliora la fiducia nella catena di distribuzione, consente audit più approfonditi e facilita la collaborazione tra progetti upstream e downstream.
Le firme multiple sono gestite tramite una nuova API che consente di accedere, verificare e manipolare le firme in modo programmatico. Gli strumenti di verifica sono stati aggiornati per supportare questa funzionalità, e la documentazione ufficiale include esempi pratici per l’implementazione in ambienti CI/CD e repository software.
RPM 6.0: Miglioramenti API
Oltre alle firme multiple, RPM 6.0 introduce una serie di miglioramenti all’API, rendendola più coerente e modulare. Le nuove funzioni permettono una gestione più precisa dei metadati, delle dipendenze e delle transazioni di installazione. Il formato RPM è stato esteso per supportare attributi aggiuntivi, migliorare la compressione e semplificare l’integrazione con strumenti di terze parti.
Il team di sviluppo ha lavorato anche sull’ottimizzazione delle performance, riducendo i tempi di installazione e aggiornamento dei pacchetti, soprattutto in ambienti con grandi repository. Sono state introdotte nuove opzioni per la gestione delle firme durante la build, con maggiore controllo su chiavi, algoritmi e policy di validazione.
Compatibilità e adozione nelle distribuzioni
RPM 6.0 è compatibile con le versioni precedenti, ma alcune funzionalità richiedono aggiornamenti agli strumenti di gestione e ai repository. Le principali distribuzioni basate su RPM stanno già testando l’integrazione della nuova versione, con Fedora e openSUSE in prima linea. Gli utenti possono compilare RPM 6.0 dai sorgenti ufficiali o attendere l’inclusione nei repository delle rispettive distribuzioni.
Il supporto per firme multiple è particolarmente interessante per progetti open source che desiderano garantire la trasparenza nella distribuzione, come quelli che operano in ambito governativo, accademico o industriale. Anche le aziende che gestiscono repository privati potranno beneficiare di una maggiore granularità nella gestione delle chiavi e delle policy di firma.
Fonte: 9to5Linux
