Kategorie: Debian

Debian hat am Wochenende erstmals ein Debian-Project-Leader-Team (DPL) aus vier Entwicklern als Leitungsgremium bestimmt. Bisher wurde bei Debian immer nur eine Person zum DPL gewählt. Dieser konnte zwar Aufgaben delegieren, war aber dem Projekt gegenüber verantwortlich.

Erst kein Kandidat…

Während der ursprünglichen Nominierungsphase zu den alljährlich im Frühjahr abgehaltenen Wahlen zum DPL fand sich erstmals in der Projekthistorie nicht ein einziger Kandidat. Die Richtlinien sehen in einem solchen Fall vor, dass jeweils um eine Woche verlängert wird, bis zumindest ein Kandidat auf der Liste steht.

…dann gleich fünf

Zum Erstaunen vieler im Projekt meldeten sich in der Verlängerungswoche gleich fünf Entwickler, die das Amt für ein Jahr übernehmen wollten. Die Kandidaten sind Joerg Jaspert, Sam Hartman, Martin Michlmayr, Jonathan Carter und Simon Richter. Davon können zumindest die ersten drei als Schwergewichte in Debian gelten. Sie sind schon sehr lange im Projekt und haben ihm in mannigfaltigen Rollen gedient.

Wahlkampf

Nachdem die Kandidaten ihre Wahlplattformen bereits veröffentlicht hatten, zog sich Simon Richter aus persönlichen Gründen zurück. Die vier verbleibenden Anwärter verteidigten zunächst ihre Plattformen auf der Mailingliste und beantworteten die Fragen der Kollegen zu ihrer Kandidatur.

Gute Ergänzung

Nachdem dann die Kandidaten auch die teils umfangreichen Plattformen der Mitanwärter gelesen hatten, ergab sich die Erkenntnis, dass die vier recht unterschiedlichen Plattformen einander ideal ergänzen. Sind Michlmayr und Jaspert eher technisch und programmatisch ausgerichtet, so geht es Sam Hartman zum Beispiel mehr darum, den Spaß bei der Projektarbeit zu erhalten und die Diskussionskultur und den generellen Umgang miteinander zu verbessern. Er sieht sich dabei in der Rolle des Mediator.

DPL-Team

So kam es am Freitag zu der Entscheidung, dass man sich an einen kürzlich gemachten Vorschlag des ehemaligen DPL Lucas Nussbaum erinnerte und sich entschloss, gemeinsam als Team bei der am 31.März abgehaltenen Wahl anzutreten. Die Kürze der Bekanntgabe der Entscheidung ließ keine lange Diskussion zu, was aber nichts daran änderte, dass bei der Wahl von den 458 teilnehmenden Entwicklern 334 für den Vorschlag stimmten.

Zwei Jahre im Amt

Anders als bisher nimmt das gewählte Team den Posten für zwei Jahre ein, um die Effizienz eines solchen Teams besser beurteilen zu können. Gleich nach der Wahl stellte das DPL-Team auch bereits einen ersten brisanten Ansatz zur Lösung einiger der Probleme im Projekt vor.

Bezahlte Entwickler?

Aufgrund einer Spende von 300.000 US-Dollar, die das Projekt kürzlich von der Handshake Foundation erhielt, möchte das DPL-Team einen Teil dieser Summe dazu verwenden, um interne oder externe Entwickler zu bezahlen, um einige der Probleme der überalterten Infrastruktur Debians zu beheben.

Dunc-Tank anyone?

Die Brisanz dieses Vorschlags liegt darin, dass das Projekt vor 13 Jahren bereits einmal einen solchen Vorstoß unternahm, punktuell Entwickler für bestimmte Aufgaben zu bezahlen. Das heute noch unter dem Namen Dunc-Tank. Damals ging es darum, das Release-Team zu bezahlen um die Veröffentlichung von Debian GNU/Linux 4 »Etch« zu beschleunigen.

Projekt gespalten

Dunc-Tank wurde von vielen Entwicklern als Experiment befürwortet, von einer Minderheit aber vehement bekämpft, die der Meinung waren, Debian 4 solle veröffentlicht werden wenn es fertig sei. Eine Meinung, die sich später durchsetzen sollte und zum Mantra von Debian wurde. Der Protest reichte bis hin zu einer Parodie namens Dunc-Bank. Im Rahmen der Diskussion, die das Projekt bis zum Zerreißen anspannte, wurde unter anderem die Entfernung des damaligen DPL Anthony Towns, der Dunc-Tank erdacht hatte, aus dem Amt gefordert.

Neuer Versuch?

Die Bezahlung zweier Release-Manager führte allerdings nicht dazu, dass Debian 4 zum projektierten Termin fertig wurde. Das dauerte dann noch fast ein halbes Jahr länger. Nun soll das Experiment, die Entwicklung Freier Software mit Geld zu beschleunigen, nach 13 Jahren wiederholt werden, wenn es nach dem Willen des neuen DPL-Teams geht. Ob das diesmal gutgeht?

Die letzten Wochen haben an einigen Stellen gezeigt, dass sich das Debian-Projekt einer Reihe von schwierigen Herausforderungen gegenüber sieht. Dabei wird das Meistern dieser Probleme nicht einfacher dadurch, dass Debian eine demokratische Ausrichtung hat, beziehungsweise den Prinzipien einer Do-ocracy folgt, ohne dass jemand an der Spitze die Marschrichtung vorgibt.

Veraltete Werkzeuge

Zunächst kritisierte der Entwickler Michael Stapelberg, der mehr als zehn Jahre lang eine Reihe von Paketen innerhalb von Debian betreut hatte, das Projekt. In einem Blogeintrag, in dem er seinen Rückzug erklärte, mahnte er, Debians Werkzeuge seinen veraltet und nicht effektiv genug.

Auch die Tatsache, dass sich in den ersten beiden Wochen der Wahlperiode kein Bewerber gemeldet hatte ist ein Novum. Dass sich dann in der Verlängerungswoche gleich fünf Kandidaten bereit erklärten, das stressige Ehrenamt zu übernehmen, lässt dagegen Hoffnung zu.

Nachlassende Relevanz

In seiner Plattform zur Wahl zum Debian Projekt Leader (DPL) kritisiert Langzeit-Debianer Martin Michlmayr das Projekt in ähnlicher Weise. Vor 10 – 15 Jahren sei Debian in einer existentiellen Krise gewesen, was seine Relevanz im Reigen der Linux-Distributionen angeht. Das sei zum einen durch die Einführung von Ubuntu, andererseits durch eine Abwanderung zu macOS bedingt gewesen.

Wie vor 20 Jahren

Michlmayr bestätigt Stapelbergs Analyse, sieht die Probleme aber als noch größer an. Die Open-Source-welt habe sich in den letzten 5 – 10 Jahren in vielerlei Hinsicht verändert. Trotzdem agiere Debian in weiten Teilen wie vor 20 Jahren.

Kaum Innovation

In dieser Zeit sei Debian ständiger Innovator gewesen und habe für die damalige Zeit aufregende Dinge wie Paketmanager und automatische Upgrades eingeführt und Pakete für mehr als 10 Architekturen bereit gestellt. Als einzige bedeutende Innovation der letzten Jahre bei Debian nennt Michlmayr reproduzierbare Builds. Diese lösten ein wichtiges Problem und die Idee habe sich über Debian hinaus auf die gesamte FOSS-Welt ausgebreitet.

Nicht entscheidungsfreudig

Das schreibt Michlmayr, der bereits in 2003 und 2004 das Amt des DPL innehatte, der Unfähigkeit des Projekts zu, in der schnelllebigen Zeit Entscheidungen zeitig zu treffen und umzusetzen. Projektmitglieder hätten Angst, weitreichende Änderungen auch nur vorzuschlagen, weil die oft toxische Diskussionskultur und die resultierenden Flamewars die Umsetzung von gefundenen Lösungen zu sehr erschweren. Michlmayr ist der Meinung, dass Debian im Laufe der Jahre eine Reihe von Anti-Verhaltensmustern entwickelt hat, von denen das Projekt weggehen muss.

Probleme lösbar

Dabei sei Debian in der Welt der Server, bei Containern und in der Cloud so relevant wie nie. Deshalb glaubt er, die Probleme seien lösbar und sieht die Rolle des DPL dabei als Vermittler, der Leute zusammenbringt. Joerg Jaspert, Mitbewerber und ebenfalls Debian-Urgestein, sieht das ähnlich, wenn er schreibt: »Die Aufgabe des DPL ist es nicht, technische Lösungen für die Probleme des Projekts zu finden, sondern anderen zu ermöglichen, Herausforderungen zu meistern.

Die Wahlplattformen aller Kandiaten sind auf der Webseite zur Wahl des DPL einsehbar. Es bleibt zu hoffen, dass nach vielen Anregungen der letzten Zeit das Amt des DPL nicht länger als One-Man-Show begriffen wird, sondern ein Team die Aufgaben unter sich aufteilt und effektiv angeht.

Ein kritischer Fehler in Debians Paketmanager APT wurde durch die Tatsache begünstigt, dass Debian und andere Distributionen für die Auslieferung ihrer Pakete an die Nutzer HTTP anstatt HTTPS nutzen. Durch HTTP-Redirects konnte per Man-in-the-Middle-Angriff dem Paketmanager APT ein Paket untergeschoben und sogar mit einer vermeintlich korrekten Signatur versehen werden.

Schwieriger mit HTTPS

Der letzte Teil wäre mit der Verwendung von HTTPS schwieriger zu bewerkstelligen. Das solcherart untergeschobene Paket konnte dann beliebigen Schadcode ausführen wenn es gestartet wurde. Entdeckt wurde die Lücke von Max Justicz, der sie in seinem Blog näher beschreibt. Betroffen waren neben Debian, Ubuntu und Linux Mint auch alle anderen Derivate.

Bitte aktualisieren

Die Debian-Entwickler wurden einige Tage vor der Veröffentlichung der Lücke informiert, sodass Patches für verschiedene Versionen von Debian und Ubuntu zu dem Zeitpunkt bereits zur Verfügung standen. Anwender sind dringend dazu aufgerufen, die aktualisierten Pakete zeitnah zu installieren.

Auf der sicheren Seite

Um, dabei gänzlich sicher zu sein, dass das System beim Upgrade nicht kompromittiert wird, empfiehlt Debian das Abschalten von Redirects während der Aktualisierung. Das kann mit folgenden Zeilen erreicht werden:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Ironischerweise wurde der Fehler zu einem Zeitpunkt veröffentlicht, in dem eine schon öfter geführte Diskussion darüber, ob es Sinn ergibt, Pakete aus Repositories per HTTPS auszuliefern, wieder aufflammt.

A lot of people think TLS is unnecessary for software updates, provided the update mechanism already includes signing/verification. Unless you’re Microsoft, this seems like a big mistake.

— Matthew Green is on BlueSky (@matthew_d_green) January 21, 2019

Für und gegen

Die Argumente, die bisher gegen HTTPS für die Auslieferung von Debian-Paketen ins Feld geführt wurden, verweisen auf die Komplexität der Bereitstellung eines riesigen weltweiten Mirror-Netzwerks, das über SSL verfügbar ist. Ein Wechsel zu HTTPS würde auch bedeuten, dass die Vorteile lokaler Proxy-Server zur Beschleunigung des Zugriffs nicht mehr genutzt werden könnten. Der Sicherheitsgewinn durch HTTPS wird kontrovers diskutiert.