Fedora 45 计划在其软件包中增加对 PURL(软件包 URL)的支持。这种唯一代码能够以标准化方式识别跨生态系统(如 npm、PyPi 或 Maven)的程序。其实现有助于追踪安全漏洞并精确生成软件清单。对用户而言,这意味着在检测到关键故障时,能够获得更安全、更快速的更新。该措施保护了设备的隐私和稳定性,改善了 Linux 生态系统中的依赖管理。
PURL 如何标准化软件包标识 🔒
PURL 作为一种引用方案,为每个软件包分配一个机器可读的标识符,结合了生态系统类型、名称和版本。例如,一个 Python 软件包表示为 pkg:pypi/requests@2.31.0。Fedora 45 将把这一规范集成到其 DNF 包管理器以及 OWASP Dependency-Check 等分析工具中。这有助于自动关联漏洞数据库(CVE)与已安装的组件。管理员能够生成无歧义的软件清单(SBOM),从而加快对安全故障的响应速度。
现在,连你的包管理器都知道你是谁了 😅
因为没错,事实证明仅用唯一代码识别程序是不够的。现在 Fedora 希望每个软件包都有自己的数字身份证,就好像内核会因为版本过旧而被要求出示证件一样。普通用户会疑惑,他们的浏览器是否现在需要申报税款了。事实上,在这么多数字和方案之间,系统比你更清楚自己安装了什么东西。而与此同时,黑客们正摩拳擦掌:至少他们知道该利用哪个漏洞,而不用去猜了。