Az Arch AUR-t az elmúlt héten érő problémák mostanra más nyílt forráskódú projekteknél is éreztetik a hatásukat, többeket szigorúbb biztonsági lépésekre késztetve. A Determinate Systems hét napos késleltetést vezetett be a Nixpkgs frissítéseknél a Determinate Nix disztribúcióban, az Arch User Repository-t érintő legutóbbi malware-incidens által felszínre hozott ellátási lánc kockázatokra hivatkozva.

Fontos tisztázni: a Determinate Systems külön cég a NixOS projekttől, és a Nixhez kapcsolódó kereskedelmi és fejlesztői eszközökre fókuszál, például a Determinate Nixre, a FlakeHubra és a csomagbiztonsági szolgáltatásokra. A változás a Determinate Nixre vonatkozik, amely egy downstream disztribúció Linuxra, macOS-re, WSL-re és CI/CD rendszerekre, és nem érinti a NixOS-t vagy az upstream Nixpkgs-t.

A nixpkgs-weekly csatorna továbbra is heti rendszerességgel frissül, de mostantól csak olyan upstream Nixpkgs revíziókat vesz át, amelyek már legalább hét napja nyilvánosak. A Determinate Systems ezzel egy olyan pufferidőt szeretne biztosítani, amely alatt kiderülhetnek a kritikus problémák vagy a rosszindulatú módosítások, mielőtt a frissítések eljutnak a felhasználókhoz.

A döntés előzménye az Arch User Repository-t célzó, friss malware-kampány, amelyben több száz rosszindulatú csomag tette ki ellátási lánc támadásoknak a felhasználókat. A Determinate Systems szerint a Nixpkgs hasonló kockázatokkal néz szembe, mivel sok karbantartó saját pull requestjeit is összevonhatja kötelező szakértői átnézés nélkül.

A cég a várakozási időt gyakorlati enyhítő lépésnek tartja, nem teljes körű megoldásnak. A Nixpkgs új revízióinak késleltetése időt ad a közösségnek, hogy kiszúrja a gyanús aktivitást, mielőtt a frissítések alapértelmezés szerint megjelennének.

Az új késleltetés már működik, és alapértelmezett minden Determinate Nix felhasználónál. Azok a flake-ek, amelyek Determinate Nix alatt az alapértelmezett nixpkgs flake registry bejegyzést használják, automatikusan a késleltetett Nixpkgs frissítéseket kapják.

A Determinate Nixen kívüli felhasználók is bekapcsolódhatnak a késleltetett csatornába, ha a flake inputot a Determinate nixpkgs-weekly forrására irányítják. A cég emellett külön, késleltetett csatornán keresztül tükrözni kezdte a NixOS 26.05 verziót is.

Lényeges, hogy ez nem hivatalos NixOS irányelv-változás. Az upstream Nixpkgs nem vezetett be kötelező hét napos késleltetést. Ez a frissítési folyamatra vonatkozó módosítás kizárólag a Determinate Systems disztribúciójára és csatornáira érvényes.

A Determinate Systems emellett arra kéri a NixOS projektet, hogy tegye kötelezővé a Nixpkgs karbantartói merge-ek szakértői átnézését. A cég elismeri, hogy ez kezdetben lassíthatja az összevonásokat, de úgy véli, ezzel egy jelentős biztonsági hiányosságot lehetne kezelni.

További részletekért olvasd el a hivatalos bejelentést.