Nachricht

May 30, 2023

AlmaLinux stellt fest, dass die Arbeit mit Red Hat nicht einfach ist

Als Red Hat ankündigte, dass der Quellcode von Red Hat Enterprise Linux (RHEL) nicht mehr leicht verfügbar sein würde, veränderte dies die Art und Weise, wie RHEL-Klone wie AlmaLinux, Oracle Linux und Rocky Linux erstellt werden

Als Red Hat ankündigte, dass der Quellcode von Red Hat Enterprise Linux (RHEL) nicht mehr leicht verfügbar sein würde, veränderte dies die Art und Weise, wie RHEL-Klone wie AlmaLinux, Oracle Linux und Rocky Linux ihre Distributionen erstellen. Während Oracle und Rocky einen Kampf planen, entschied sich AlmaLinux für einen friedlicheren Kurs. Das hat nicht so gut geklappt wie erhofft.

AlmaLinux versucht nicht mehr, 100 % Quellcode mit RHEL kompatibel zu sein. Stattdessen entschieden sich die Entwickler des AlmaLinux-Betriebssystems für die Kompatibilität mit der Application Binary Interface (ABI). Für fast alle praktischen Einsatzzwecke ist das mehr als ausreichend.

Auch:Elive 3.8.34: Eine schöne Sache, die jeder Linux-Benutzer der alten Schule lieben würde

Daher stimmte der AlmaLinux-Vorstand einstimmig dafür, „weiterhin darauf zu zielen, eine unternehmenstaugliche, langfristige Linux-Distribution zu produzieren, die auf RHEL abgestimmt und ABI-kompatibel ist und auf die Bedürfnisse unserer Community eingeht, soweit dies möglich ist.“ dass Software, die auf RHEL läuft, auch auf AlmaLinux läuft.“

Wie der Vorsitzende von AlmaLinux, Benny Vasquez, erklärte, ist das genaue Ziel „ABI-Kompatibilität [was] in unserem Fall bedeutet, sicherzustellen, dass Anwendungen, die für die Ausführung auf RHEL (oder RHEL-Klone) erstellt wurden, problemlos auf AlmaLinux ausgeführt werden können. Durch die Anpassung an diese Erwartung entfällt unser Bedarf.“ um sicherzustellen, dass alles, was wir veröffentlichen, eine exakte Kopie des Quellcodes ist, den Sie mit RHEL erhalten würden.

Dazu verwendet AlmaLinux den CentOS Stream-Quellcode. Im Gegenzug fügte Vasquez hinzu: „Wir werden weiterhin Upstream-Beiträge zu Fedora und CentOS Stream sowie zum größeren Enterprise Linux-Ökosystem leisten, so wie wir es seit unserer Gründung getan haben, und wir laden unsere Community ein, dasselbe zu tun!“

Auch:Linux Mint 21.2: Ihr neuer und verbesserter Linux-Desktop für die nächsten drei Jahre

Offiziell hatte Red Hat nichts zu sagen. Red Hatters sagte mir jedoch, dass dies genau „der Ansatz ist, den wir für RHEL-ähnliche Distributionen vorgeschlagen haben – die Zusammenarbeit mit der breiteren Community in CentOS Stream“.

Also, was ist das Problem? Nun, Jonathan Wright, CTO von KnownHost und Leiter des AlmaLinux-Infrastrukturteams, hat kürzlich einen CentOS Stream-Fix für CVE-2023-38403 veröffentlicht, ein Speicherüberlaufproblem in iperf3. Iperf3 ist ein beliebter Open-Source-Netzwerkleistungstest. Diese Sicherheitslücke ist wichtig, aber kein großes Problem. Dennoch ist es bei weitem besser, das Problem zu beheben, als es bestehen zu lassen und zuzusehen, wie es schließlich zum Absturz eines Servers führt.

Das ist es jedenfalls, was ich und andere empfunden haben. Doch dann antwortete ein leitender Red Hat-Softwareentwickler: „Vielen Dank für den Beitrag. Derzeit planen wir nicht, dies in RHEL zu behandeln, aber wir werden es für eine Bewertung auf der Grundlage des Kundenfeedbacks offen halten.“

Das ging rüber wie ein Bleiballon.

Auch:Die besten Linux-Laptops

Das GitLab-Gespräch ging weiter:

AlmaLinux: „Ist die Kundennachfrage wirklich notwendig, um CVEs zu beheben?“

Red Hat: „Wir verpflichten uns, die von Red Hat definierten kritischen und wichtigen Sicherheitsprobleme anzugehen. Sicherheitslücken mit niedrigem oder mittlerem Schweregrad werden auf Anfrage behoben, wenn [ein] Kunde oder ein anderes Unternehmen dies erfordert.“

AlmaLinux: „Das kann ich sogar verstehen, aber warum den Fix ablehnen, wenn die Arbeit schon erledigt ist und nur noch zusammengeführt werden muss?“

An diesem Punkt sprang Mike McGrath, Red Hats VP of Core Platforms, alias RHEL, ein. Er erklärte: „Wir sollten wahrscheinlich ein Dokument darüber erstellen, was bei der Einreichung zu erwarten ist.“ Das Schreiben des Codes ist nur der erste Schritt in dem, was Red Hat damit macht. Wir müssten sicherstellen, dass es keine Regressionen, Qualitätssicherung usw. gibt … Also vielen Dank für den Beitrag, es sieht so aus, als ob die Fedora-Seite gut läuft, also wird es enden irgendwann in RHEL auftauchen.

Von da an ging es rapide bergab.

Auch: Linux hat über 3 % des Desktop-Marktes? Es ist komplizierter

Ein Benutzer schrieb: „Sie wollen die Kundennachfrage? Hier ist die Kundennachfrage. Reparieren Sie das Problem, sonst werde ich RHEL NIEMALS anfassen.“ Während ein anderer schnippte: „Red Hat: Wir gehen völlig kommerziell vor, weil Alma niemals Fixes vorantreibt! Außerdem Red Hat: Wir wollen deine Fixes nicht, Alma!“

Auf Reddit sagte McGrath: „Ich gebe zu, dass wir hier eine großartige Gelegenheit für eine gutgläubige Geste gegenüber Alma hatten und vertan haben.“

Obwohl das Red Hat Product Security-Team den CVE schließlich als „‚Wichtig‘“ einstufte, wurde der Patch zusammengeführt.

Das unmittelbare Problem wurde also behoben. Dennoch bleiben schlechte Gefühle zurück. Wright schrieb: „Das Schlimmste daran ist für mich das Gefühl, dass ich meine Zeit verschwendet habe, indem ich hier überhaupt eine PR [Pull Request] eingereicht habe.“ Das ist die letzte Reaktion, die Sie von Entwicklern in einer Open-Source-Community erwarten.

Mit Blick auf die Zukunft ist Vasquez jedoch optimistisch. In einem Interview sagte sie: „Das ist Neuland für uns alle, und sie scheinen bereit zu sein, die Dinge besser zu machen. Wenn wir zu unserem wahren Ziel zurückkehren (das Ökosystem für alle verbessern), ist diese Interaktion eine Gelegenheit zum Lernen.“ für alle. Sie haben bereits Prozesse und Praktiken, um Dinge von den SIGs [CentOS Stream Special Interest Groups] anzunehmen, aber ich hoffe, dass sie besser werden, wenn es darum geht, PRs außerhalb der SIGs anzunehmen.“

Wir werden sehen.