Hacker News 中文摘要

RSS订阅

从Debian中移除Guix -- Removing Guix from Debian

原文链接 | HN讨论 | 2025-09-03 05:43:04

文章摘要

Debian计划从其存储库中移除Guix包管理器,尽管Guix提供了与APT不同的功能管理方式,包括事务性升级和回滚,以及非特权用户的包管理。这一决定意味着Guix将不再包含在Debian 12和13的版本中,尽管Debian用户仍可依赖APT进行包管理。

文章总结

从Debian中移除Guix

通常情况下,如果某个软件包随Debian发行版发布,用户可以期待在整个发行版的生命周期内都能获得该软件包及其更新。然而,Guix包管理器可能很快将从Debian 13("trixie")和Debian 12("bookworm",也称为oldstable)的软件仓库中移除。

Debian本身使用APT(高级包管理工具)进行包管理,但Guix提供了不同的方法,并且可以与其他发行版的包管理器一起使用。Guix受到Nix的功能性包管理启发,提供了事务性升级和回滚、非特权用户的包管理等功能。与Nix不同,Guix的包使用Scheme编程语言的Guile实现来定义。

2025年6月24日,Guix项目披露了影响guix-daemon的多个安全漏洞,这些漏洞可能允许本地用户获取构建用户的权限、操纵构建输出,甚至获取守护进程用户的权限。这些漏洞也影响了Nix和Lix包管理器。

尽管Guix项目提供了通过guix pull命令更新guix-daemon以缓解漏洞的指导,但项目并未发布新的Guix版本。Guix项目采用滚动发布模式,不维护带有安全更新的稳定分支,这给其他Linux发行版的包管理带来了困难。

6月25日,Salvatore Bonaccorso在Debian的Guix包中报告了这些漏洞。包维护者Vagrant Cascadian在7月15日回复称,安全修复与其他上游更改混杂在一起,使得在不引入其他更改的情况下进行修复变得非常困难。他提到,他刚刚设法在Denis 'GNUtoo' Carikli维护的backport仓库中应用了安全修复并编译成功。

由于缺乏包含修复补丁的分支,Cascadian倾向于建议从Debian中移除Guix包。8月27日,他提交了从Debian 11("bullseye")、bookworm和trixie中移除Guix的请求,并提交了从即将发布的forky版本中移除该包的请求。

Cascadian表示,Guix包可能会从trixie和bookworm的即将发布的点版本中移除。已经安装该包的用户将停留在旧版本,除非他们手动更新。他认为这不是一个理想的结果,但比让用户继续安装易受攻击的版本要好。

Guix项目正在努力创建年度发布版本,但这并不会为Debian和其他发行版提供稳定的分支,只会缩短主要版本之间的发布间隔和功能差异。

Debian用户仍然可以通过Guix项目提供的二进制文件安装Guix,但这可能会让一些用户感到不便,因为Debian目前为x86-64、Arm64、PowerPC、RISC-V、32位Arm和32位x86架构提供了Guix包,而Guix项目本身并不提供RISC-V的二进制文件。

根据Debian的popularity contest (popcon)统计,安装Guix的系统不到230个。虽然popcon统计仅暗示了实际安装数量,但假设这些数据大致准确,移除Guix不会对大量Debian用户造成不便。然而,这意味着更少的人会在Debian等发行版上使用Guix,从而发现发行版特定的问题。

评论总结

评论内容总结:

  1. Guix的GCC版本问题

    • 观点:Guix虽然是滚动更新,但使用的GCC版本较旧,与Debian的最新版本形成对比,显得不协调。
    • 引用:
      • "It's odd that guix is both rolling release but also uses older GCC versions"
      • "Guix uses 'fairly old' GCC versions whereas Debian usually ships the latest GCC version"

  2. Guix的管理与运行环境争议

    • 观点:Guix因管理问题被边缘化,建议在裸金属上运行以充分利用其从源码引导的特性,或作为GNU Hurd的客操作系统运行,避免依赖Linux。
    • 引用:
      • "guix should either be run on bare metal... OR be running as guest, in some fantasical gnu hurd environment"
      • "It's a shame that yet another project... are getting ostracized out of mismanagement"

  3. Guix的安全漏洞问题

    • 观点:最近的Guix漏洞(CVE)概念验证脚本追溯到2023年1月的提交,但尚不清楚已发布版本是否受影响。
    • 引用:
      • "the proof-of-concept script for the recent Guix CVEs bisects to a Jan 2023 commit"
      • "it's not clear that released versions are affected"

  4. Guix在Debian中的普及度

    • 观点:根据Debian的流行度统计,安装Guix的系统不到230个,表明其用户基数较小。
    • 引用:
      • "According to Debian's popularity contest (popcon) statistics, there are not quite 230 systems with Guix installed"

总结:评论主要围绕Guix的技术选择(如GCC版本)、管理问题、安全漏洞及用户普及度展开,既有对其技术决策的质疑,也有对其未来发展的建议。