Os desenvolvedores do Fedora Linux estão planejando uma mudança importante para o próximo ciclo de lançamento: bloquear por padrão a instalação de pacotes RPM não assinados. A proposta, que ainda aguarda aprovação do Fedora Engineering Steering Committee (FESCo), visa elevar a segurança do sistema, alinhando o comportamento do Fedora ao novo padrão introduzido no RPM 6.0.
Até agora, o Fedora e o gerenciador de pacotes DNF já exigiam verificação de assinatura para repositórios oficiais, mas o comando RPM em si ainda aceitava pacotes sem assinatura. Essa brecha, embora útil para testes e pacotes locais, representa um risco na era moderna de ataques à cadeia de suprimentos, quando softwares maliciosos podem se disfarçar como atualizações legítimas.
O que muda no Fedora 44
Se aprovada, a alteração tornará obrigatório que todo pacote instalado tenha uma assinatura criptográfica válida. Usuários que tentarem instalar um RPM sem assinatura verão a instalação bloqueada, a menos que usem explicitamente o comando:
rpm -i pacote.rpm --nosignatureSegundo Panu Matilainen, da equipe da Red Hat e autor da proposta, o comportamento anterior “poderia ter sido aceitável nos anos 1990, mas não atende às expectativas de segurança modernas”.
O novo padrão ajustará a configuração interna %_pkgverify_level de digest para all, garantindo que apenas pacotes com assinatura e integridade verificadas possam ser instalados sem autorização explícita.
Impacto para usuários e desenvolvedores
Para a maioria dos usuários, a mudança deve passar despercebida, afinal, os repositórios oficiais e os builds do COPR já distribuem pacotes assinados. No entanto, desenvolvedores e mantenedores que utilizam pacotes locais ou ambientes de teste precisarão adaptar seus fluxos de trabalho.
Ferramentas como mock e COPR continuarão funcionando normalmente, já que o DNF5 (versão 5.2.14 ou superior) permite desativar a verificação de assinatura por pacote. Além disso, o novo RPM 6.0 traz um recurso prático de assinatura automática sem senha, configurado via script:
/usr/lib/rpm/rpm-setup-autosignIsso facilita assinar pacotes locais sem adicionar etapas manuais.
Um passo importante na segurança do Fedora
A proposta reflete uma tendência crescente no mundo Linux: fortalecer a confiança na cadeia de distribuição de software. Exigir assinaturas válidas reduz as chances de ataques por pacotes adulterados e melhora a transparência para usuários e desenvolvedores.
Caso seja aprovada, a mudança será implementada no Fedora 44, previsto para o segundo trimestre de 2026. Se houver contratempos, o plano poderá ser adiado para o Fedora 45.
Ajude o Diolinux a se manter independente e crescendo: seja membro Diolinux Play e receba benefícios exclusivos!