Дистрибутив Fedora 45 планирует добавить поддержку PURL (Package URL) в свои пакеты. Этот уникальный код стандартизированно идентифицирует программы в таких экосистемах, как npm, PyPi или Maven. Его внедрение позволяет отслеживать уязвимости безопасности и точно формировать списки программного обеспечения. Для пользователей это означает более безопасные и быстрые обновления при обнаружении критических ошибок. Мера защищает конфиденциальность и стабильность систем, улучшая управление зависимостями в экосистеме Linux.
Как PURL стандартизирует идентификацию пакетов 🔒
PURL работает как схема ссылок, присваивающая каждому пакету читаемый машинами идентификатор, объединяющий тип экосистемы, имя и версию. Например, пакет Python представляется как pkg:pypi/requests@2.31.0. Fedora 45 интегрирует эту спецификацию в свой менеджер пакетов DNF и в инструменты анализа, такие как OWASP Dependency-Check. Это облегчает автоматическое сопоставление баз данных уязвимостей (CVE) с установленными компонентами. Администраторы смогут создавать списки программного обеспечения (SBOM) без двусмысленностей, ускоряя реакцию на ошибки безопасности.
Теперь даже ваш менеджер пакетов знает, кто вы 😅
Потому что да, оказывается, идентификации программ с помощью уникального кода недостаточно. Теперь Fedora хочет, чтобы у каждого пакета было собственное цифровое удостоверение личности, как будто они собираются попросить паспорт у ядра за то, что оно перешло на новые версии. Обычные пользователи зададутся вопросом, не придется ли теперь их браузеру подавать налоговую декларацию. По правде говоря, среди всех этих чисел и схем система будет знать, что у нее установлено, лучше вас. А тем временем хакеры потирают руки: по крайней мере, они будут знать, какую уязвимость эксплуатировать, не гадая.