Pengurus pakej berfungsi Guix sedang dikeluarkan dari keluaran stabil dan ujian Debian berikutan kelemahan keselamatan dan kesukaran penyelenggaraan yang semakin meningkat. Ini menandakan kejadian jarang berlaku di mana sebuah pakej ditarik dari keluaran stabil Debian , menonjolkan cabaran menyelenggara perisian keluaran bergolek dalam model pengedaran tradisional.
Guix menawarkan pendekatan berbeza kepada pengurusan pakej berbanding sistem APT Debian . Ia menyediakan naik taraf transaksi, rollback, dan membenarkan pengguna tanpa keistimewaan menguruskan pakej. Tidak seperti pengurus pakej Nix yang serupa, Guix menggunakan pelaksanaan Guile bagi Scheme untuk definisi pakej.
Kelemahan Keselamatan Mencetuskan Krisis
Proses penyingkiran bermula apabila projek Guix mendedahkan beberapa kelemahan keselamatan pada 24 Jun 2025. Dua kelemahan kritikal, CVE-2025-46415 dan CVE-2025-46416, boleh membenarkan pengguna tempatan memperoleh keistimewaan yang lebih tinggi dan memanipulasi output binaan. Projek Guix menyediakan arahan mitigasi tetapi tidak mengeluarkan versi stabil baharu, sebaliknya bergantung pada model keluaran bergolek mereka.
Ini mewujudkan masalah besar bagi penyelenggara pakej Debian , Vagrant Cascadian . Pembetulan keselamatan telah bercampur dengan banyak perubahan hulu lain, menjadikannya amat sukar untuk backport hanya tampung keselamatan yang diperlukan tanpa memperkenalkan ciri-ciri baharu yang besar dan ketidakstabilan yang berpotensi.
Kelemahan Keselamatan:
- CVE-2025-46415: Peningkatan keistimewaan tempatan kepada pengguna pembinaan
- CVE-2025-46416: Manipulasi output pembinaan dan peningkatan keistimewaan daemon
- Terjejas: Pengurus pakej Guix, Nix, dan Lix
- Tampung diperlukan: ~50 komit antara versi 1.4.0 dan pembetulan
Beban Penyelenggaraan Menjadi Tidak Mampan
Perbincangan komuniti mendedahkan cabaran yang lebih mendalam yang dihadapi oleh penyelenggara pengedaran. Denis Carikli , yang cuba membantu dengan backporting, menggunakan kira-kira 50 tampung yang melibatkan guix-daemon antara versi 1.4.0 dan pembetulan keselamatan. Usaha besar ini menonjolkan ketidakserasian antara model pembangunan keluaran bergolek Guix dan pendekatan cawangan stabil Debian .
Cascadian menyatakan cabaran penyelenggaraan tambahan, termasuk menguruskan kebergantungan Guile dan menangani keutamaan Guix untuk versi GCC yang lebih lama sementara Debian menghantar versi pengkompil yang lebih baharu. Ahli komuniti telah mengenal pasti isu khusus dengan keserasian GCC 15 , di mana penyertaan header tersirat telah dikeluarkan, merosakkan binaan yang sebelum ini berfungsi.
Setiap kali anda menjalankan sekeping perisian melalui proses di luar aliran kerja pembangunan utama, anda menemui kejutan yang berbaloi untuk diperbaiki.
Perbandingan Sokongan Seni Bina:
- Pakej Debian Guix : x86-64, Arm64, PowerPC, RISC-V, 32-bit Arm, 32-bit x86
- Binari upstream Guix : x86-64, Arm64, PowerPC, 32-bit Arm, 32-bit x86 (tiada RISC-V)
Kesan Pengguna Terhad
Menurut statistik pertandingan populariti Debian , kurang daripada 230 sistem kini mempunyai Guix dipasang, mewakili kurang daripada 0.09% sistem yang mengambil bahagian. Walaupun sesetengah ahli komuniti mempersoalkan ketepatan statistik ini kerana pengguna yang mementingkan privasi melumpuhkan pelaporan, angka rendah menunjukkan penyingkiran tidak akan memberi kesan ketara kepada kebanyakan pengguna Debian .
Penyingkiran ini mempengaruhi beberapa keluaran Debian termasuk bookworm stabil semasa dan versi ujian trixie . Pengguna dengan Guix yang sudah dipasang akan terperangkap dengan versi yang terdedah melainkan mereka mengemas kini secara manual menggunakan binari hulu.
Statistik Penggunaan:
- Laporan popcon Debian: <230 pemasangan Guix
- Peratusan sistem Debian: <0.09%
- Perbandingan: firefox-esr mempunyai ~118,000 pemasangan (44.5%)
- Nota: Statistik mungkin tidak mewakili penggunaan sebenar disebabkan tetapan privasi
Pandangan Masa Depan
Projek Guix telah menerima pakai rancangan untuk keluaran tahunan tetap bermula pada 2025, tetapi ini tidak akan menyelesaikan isu asas. Keluaran ini masih akan bersifat kumulatif dan bukannya menyediakan cawangan stabil dengan kemas kini keselamatan sahaja yang diperlukan oleh pengedaran seperti Debian .
Pengguna masih boleh memasang Guix menggunakan binari yang disediakan terus oleh projek Guix , walaupun ini mungkin meninggalkan sesetengah pengguna seni bina tanpa sokongan. Projek Guix tidak menyediakan binari RISC-V , manakala pakej Debian menyokong enam seni bina berbeza.
Situasi ini menggambarkan ketegangan berterusan antara model pembangunan keluaran bergolek moden dan pendekatan pembungkusan pengedaran tradisional. Walaupun kedua-dua model mempunyai merit masing-masing, mencari titik tengah untuk perisian kompleks seperti pengurus pakej kekal mencabar.
Rujukan: Removing Guix from Debian