Os desenvolvedores do Fedora anunciaram uma proposta para reforçar a segurança do sistema ao bloquear por padrão a instalação de pacotes RPM sem assinatura digital. A medida está planejada para o Fedora 44, ainda sujeita à revisão e aprovação do Fedora Engineering Steering Committee (FESCo).
Atualmente, o Fedora e o gerenciador de pacotes DNF já exigem verificação de assinaturas para repositórios oficiais. No entanto, o próprio RPM — ferramenta base para instalação de pacotes — sempre tratou pacotes sem assinatura como válidos.
O comportamento antigo do RPM — que apenas verificava assinaturas quando disponíveis, sem exigi-las — era aceitável nos anos 1990, mas não atende mais aos padrões de segurança atuais.
A proposta visa alinhar o Fedora ao comportamento padrão do RPM 6.0, que permite apenas a instalação de pacotes com assinaturas criptográficas verificadas.
Isso significa que os usuários não poderão instalar pacotes RPM sem assinatura, a menos que utilizem o parâmetro --nosignature ou uma chamada de API correspondente para desativar a verificação manualmente.
O Fedora também informou que o gerenciador DNF5 (a partir da versão 5.2.14) já oferece suporte à desativação de verificação de assinatura por pacote, o que permitirá que ferramentas como mock e COPR continuem construindo e testando pacotes não assinados sem prejudicar os fluxos de trabalho existentes.
Além disso, pacotes criados localmente com rpmbuild poderão ser assinados automaticamente, graças ao novo recurso do RPM 6.0 que possibilita a assinatura sem senha por meio do script /usr/lib/rpm/rpm-setup-autosign.
Para a maioria dos usuários, a mudança deve passar despercebida, já que os repositórios oficiais e as compilações do COPR já utilizam pacotes assinados. Mas os desenvolvedores que dependem de pacotes locais sem assinatura precisarão ajustar seus processos, seja assinando seus builds ou usando exceções explícitas.
A proposta ainda passará por um período de avaliação pública antes da revisão formal pelo comitê FESCo. Caso seja aprovada, a novidade será implementada no Fedora 44, previsto para ser lançado na próxima primavera. Se houver necessidade de ajustes, a mudança poderá ser adiada para uma versão futura, como o Fedora 45.
Com essa atualização, o Fedora reafirma seu compromisso com a segurança e integridade da cadeia de fornecimento de software, reduzindo os riscos associados à instalação de pacotes não verificados.