AlmaLinux обнаруживает, что работать с Red Hat непросто
Сага продолжается.
Когда Red Hat объявила, что исходный код Red Hat Enterprise Linux (RHEL) больше не будет легкодоступен, это изменило способ создания своих дистрибутивов клонами RHEL, такими как AlmaLinux, Oracle Linux и Rocky Linux. В то время как Oracle и Rocky планируют сражаться, AlmaLinux выбрала более мирный путь. Это сработало не так хорошо, как хотелось бы.
AlmaLinux больше не пытается быть на 100% совместимым с RHEL исходным кодом. Вместо этого разработчики ОС AlmaLinux решили обеспечить совместимость с бинарным интерфейсом приложений (ABI). Практически для всех практических целей этого более чем достаточно.
Итак, Совет AlmaLinux единогласно проголосовал за «продолжение стремиться к созданию долгосрочного дистрибутива Linux корпоративного уровня, который согласован и совместим с ABI с RHEL, в ответ на потребности нашего сообщества, насколько это возможно, например это программное обеспечение, работающее на RHEL, будет работать так же и на AlmaLinux».
Как объяснил председатель AlmaLinux Бенни Васкес, точная цель — «совместимость с ABI, [что] в нашем случае означает работу над тем, чтобы приложения, созданные для работы на RHEL (или клонах RHEL), могли без проблем работать на AlmaLinux. Адаптация к этому ожиданию устраняет нашу необходимость». чтобы гарантировать, что все, что мы выпускаем, является точной копией исходного кода, который вы получите с помощью RHEL».
Для этого AlmaLinux будет использовать исходный код CentOS Stream. В свою очередь Васкес добавил: «Мы продолжим вносить свой вклад в разработку Fedora и CentOS Stream, а также в большую экосистему Enterprise Linux, как мы делали с момента нашего создания, и мы приглашаем наше сообщество сделать то же самое!»
Официально Red Hat сказать нечего. Но Red Hatters сказали мне, что это именно «подход, который мы предложили использовать в RHEL-подобных дистрибутивах — работа с более широким сообществом в CentOS Stream».
Так в чем проблема? Что ж, технический директор KnownHost и руководитель группы инфраструктуры AlmaLinux Джонатан Райт недавно опубликовал исправление CentOS Stream для CVE-2023-38403, проблемы переполнения памяти в iperf3. Iperf3 — популярный тест производительности сети с открытым исходным кодом. Эта дыра в безопасности является важной, но не огромной проблемой. Тем не менее, гораздо лучше исправить это, чем позволить ему задержаться и увидеть, как он в конечном итоге приведет к сбою сервера.
Во всяком случае, это то, что я и другие чувствовали. Но затем старший инженер-программист Red Hat ответил: «Спасибо за вклад. В настоящее время мы не планируем решать эту проблему в RHEL, но оставим ее открытой для оценки на основе отзывов клиентов».
Это пролетело, как свинцовый шар.
Разговор с GitLab продолжился:
AlmaLinux: "Действительно ли требование клиентов необходимо для исправления CVE?"
Red Hat: «Мы обязуемся решать определенные Red Hat критические и важные проблемы безопасности. Уязвимости безопасности с низким или средним уровнем серьезности будут устраняться по требованию, когда для этого существуют требования клиента или другие бизнес-требования».
AlmaLinux: «Я это даже понимаю, но зачем отказываться от исправления, когда работа уже сделана и ее нужно просто объединить?»
В этот момент вмешался Майк МакГрат, вице-президент Red Hat по базовым платформам, также известный как RHEL. Он объяснил: «Нам, вероятно, следует создать документ «чего ожидать при отправке». Написание кода — это только первый шаг. в том, что Red Hat с этим делает. Нам нужно убедиться, что нет регрессов, контроля качества и т. д. … Так что спасибо за вклад, похоже, что со стороны Fedora все идет хорошо, так что на этом все закончится в какой-то момент в RHEL».
С этого момента дела быстро пошли под откос.
Один пользователь написал: «Вам нужен потребительский спрос? Вот потребительский спрос. ИСПРАВИТЕ ЭТО, или я НИКОГДА не прикоснусь к RHEL». А другой язвительно заметил: «Red Hat: Мы движемся полностью коммерческими методами, потому что Alma никогда не продвигает исправления вверх по течению! Кроме того, Red Hat: Нам не нужны ваши исправления, Альма!»
На Reddit МакГрат сказал: «Я признаю, что у нас была прекрасная возможность сделать добросовестный жест в сторону Альмы, и мы не смогли этого сделать».
Наконец, хотя команда Red Hat Product Security оценила CVE как «важную», патч был объединен.
Итак, насущная проблема решена. Тем не менее, плохие предчувствия остались позади. Как написал Райт: «Самое худшее для меня — это ощущение, что я зря потратил время, даже отправив здесь PR [запрос на включение]». Это последняя реакция, которую вы ожидаете от разработчиков в сообществе открытого исходного кода.
Однако, заглядывая в будущее, Васкес настроен оптимистично. В интервью она сказала: «Это неизведанная территория для всех нас, и они, похоже, готовы сделать ситуацию лучше. Если мы вернемся к нашей истинной цели (улучшить экосистему для всех), это взаимодействие станет возможностью для обучения. для всех. У них уже есть процессы и методы принятия материалов от SIG [группы особых интересов CentOS Stream], но я надеюсь, что они станут лучше относиться к принятию PR за пределами SIG».
Посмотрим.