.
Alma Linux OS
Perguntei a Benny Vasquez, presidente da AlmaLinux OS Foundation, como ela explicaria a recente controvérsia sobre o código-fonte do Red Hat Enterprise Linux para alguém em um churrasco familiar — alguém que, em outras palavras, talvez não tenha acompanhado as últimas notícias de tecnologia tão de perto.
“A maioria dos churrascos da minha família vai explicar que o Linux é um sistema operacional”, disse Vasquez. “Depois explicando o que é um sistema operacional.”
É realmente complicado explicar todas as partes — Red Hat, Red Hat Enterprise Linux, CentOS, CentOS Stream, Fedora, RHEL, Alma, Rocky, upstreams, downstreams, código-fonte e GPL — para quem não está familiarizado com a história peculiar da Red Hat e como ela evoluiu para o ecossistema amplo, mas díspar que tem hoje. E, sim, Linux em geral. Mas Vasquez estava pronto para realizar meu experimento mental.
“As mudanças que foram feitas recentemente podem ser resumidas da seguinte forma: a Red Hat historicamente facilitou a existência do que eles veem como concorrentes”, disse ela. “E as mudanças que eles fizeram, eles acham, tornam menos fácil para os concorrentes existirem. De uma perspectiva de alto nível, para pessoas que não entendem ‘construir pipelines’, é assim que eu gostaria de explicar.”
“Podemos consertar isso agora. Não precisamos esperar.”
O AlmaLinux OS, até recentemente, pretendia ser uma replicação “1:1” ou “bug por bug” do Red Hat Enterprise Linux (RHEL). Quando o RHEL anunciou que seu código-fonte estaria disponível apenas no CentOS Stream, a “visualização contínua” do RHEL, tornou a criação de uma reconstrução 1:1 do RHEL muito mais complicada. O Rocky Linux, fundado por um dos fundadores do CentOS original, disse que pretende continuar fornecendo reconstruções bug a bug por meio de alguns meios elaborados.
AlmaLinux, depois de esperar a confusão inicial e pesquisar seus clientes e apoiadores, está seguindo um caminho diferente. O AlmaLinux será compatível com binário (ou compatível com ABI), o que significa que os aplicativos executados no RHEL serão executados no AlmaLinux. Livre da paridade completa com as versões do RHEL, no entanto, significa que o AlmaLinux pode:
- Aceitar correções de bugs fora do ciclo de lançamento do RHEL
- Incluir comentários em patches que apontam para fontes e autores
- Decida suas próprias prioridades
- Continue contribuindo com upstream para CentOS Stream, Fedora e Linux como um todo
“Agora podemos fazer coisas!” disse Vasquez. “É exatamente assim que estamos nos sentindo. Usamos essa compatibilidade um-para-um como nossa Estrela do Norte, então todas as decisões que tomamos sobre o que estamos fazendo foram, sim ou não, com base na compatibilidade um-para-um. Isso abre muitas portas.”
Uma dessas portas, ao que parece, são os patches de segurança executados de maneira bem diferente do RHEL. Jonathan Wright, líder da equipe de infraestrutura da AlmaLinux e mantenedor do pacote Fedora, postou recentemente sobre sua experiência ao enviar uma solicitação pull, com base em um CVE (vulnerabilidade) existente, para o CentOS Stream. Michal Ruprich, engenheiro de software sênior da Red Hat, respondeu no GitLab que o RHEL não planejava resolver isso, mas “vamos mantê-lo aberto para avaliação com base no feedback do cliente”. Em outras perguntas de Wright, Ruprich respondeu que as vulnerabilidades com gravidade baixa ou moderada são abordadas “sob demanda, quando o cliente ou outro requisito de negócios existe para fazê-lo”.
Houve mais contexto, claro, mas o momento serviu como uma espécie de prova de conceito para o novo AlmaLinux. “É um exemplo do que queríamos ser capazes de fazer, do que esperávamos que fosse … podemos consertar isso agora. Não precisamos esperar.”
GitLabGenericName
Red Hat responde
A Red Hat fez questão de chamar “aqueles que querem reempacotar (RHEL) para seu próprio lucro” em uma postagem de blog de acompanhamento, logo após seu anúncio inicial. Citando “organizações de TI grandes ou muito grandes” que usam reconstruções de RHEL sem oferecer suporte à própria Red Hat, a empresa disse que não “encontrou valor em uma reconstrução de RHEL”.
Perguntei à Red Hat se ela tinha mais alguma coisa a dizer sobre reconstruções após a mudança do sistema operacional AlmaLinux. Também perguntei sobre a resposta do “feedback do cliente” ao patch de segurança. Mike McGrath, vice-presidente de plataformas principais da Red Hat, respondeu com uma declaração. McGrath escreveu que depois de ouvir o feedback após as mudanças no código, ele queria “reafirmar nosso compromisso com o código aberto”. Ele disse que chapéu vermelho “honra(s) e na maioria dos casos excede(m) todas as nossas obrigações de licença,” que o código-fonte de todos os produtos da Red Hat seja disponibilizado e que os clientes da Red Hat ainda tenham acesso ao RHEL. McGrath também apontou para o Red Hat Universal Base Image, a assinatura de desenvolvedor individual sem custo e as assinaturas de equipes como cumprimento dos objetivos de código aberto.
“Com todas essas opções, simplesmente não vemos nenhuma razão para fornecer o código-fonte em outro local, limpo de nosso material de marca registrada, com o único propósito de criar clones compatíveis ‘bug por bug’”, escreveu McGrath. “Preferimos trabalhar juntos no CentOS Stream, onde melhorias são possíveis. Pelo menos uma das comunidades downstream anteriores já tomou a decisão de trabalhar a partir de fontes do CentOS Stream, e aplaudimos essa mudança e estamos ansiosos para colaborar com eles, mesmo que acabemos competindo no sentido comercial. A concorrência diferenciada é um sinal de um ecossistema saudável.”
O que dizer, então, da recente rejeição de tal oferta para ajudar a melhorar o CentOS Stream por meio de uma correção CVE? McGrath abordou isso especificamente.
“Construir o RHEL é incrivelmente complexo e exige muitos recursos – há dezenas de milhares de partes móveis e tudo isso está em exibição no CentOS Stream”, escreveu McGrath. “Com ênfase na estabilidade da produção, não podemos aceitar imediatamente todos os patches ou solicitações de mesclagem – esse é o cerne do problema recente em torno de um patch CVE de um colaborador do AlmaLinux. No momento do envio, o CVE não tinha uma avaliação de gravidade pública feita e a Red Hat também não havia concluído sua avaliação independente. Não fechamos a solicitação de mesclagem e continuamos a avaliá-la para inclusão futura.”
“Também já foi aceito no Fedora; isso significa que, eventualmente, será incluído no RHEL”, escreveu McGrath. “Quando se trata de Linux corporativo, ser deliberado, previsível e completo é fundamental – é isso que esse processo mostra, mesmo na comunidade upstream de suporte.”
.
