Ya estamos en diciembre y en breve empezaremos a ver qué ha dado de sí este año en materia de Linux y Open Source, así como a prever a qué habrá que atenerse el año que viene. En los mismos términos, GNU/Linux y software libre, además de seguridad, una de las noticias más importantes que os podamos dar en 2018 es la completación de los sistemas reproducibles, una iniciativa que lleva en marcha varios años y que está cerca de culminar con Debian como punta de lanza.
Toda esta historia de los sistemas o compilaciones reproducibles es una de las consecuencias de aquel verano de 2013 (Edward Snowden, PRISM) que a tanta gente abrió los ojos. Desde entonces hablamos de privacidad y sabemos que nuestros datos en Internet están al alcance de empresas, gobiernos y en el peor de los casos cibercriminales. Y sabiéndolo, hay a quien le importa y a quien no, o a quien importándole se resigna por lo extremadamente difícil que es no pasar por el aro.
El escándalo de PRISM y derivados sirvieron también para subrayar lo que siempre había estado claro: solo el software libre puede garantizar una privacidad plena, y no hace falta que lo diga ningún profeta. Es discutible si abrir el código es beneficioso o perjudicial por aquello de a más ojos, más posibilidades de encontrar vulnerabilidades o detectar puertas traseras… para bien o para mal. Pero que solo el software libre ofrece transparencia total es un hecho por su definición misma.
Ahora bien, ¿qué hacer cuando no te puedes fiar ni del software libre? Porque uno no va por la vida revisando todo el código fuente de todo el software que utiliza, antes de compilarlo. Lo más normal, incluso a este lado franco de la computación que es GNU/Linux y sus distribuciones más libres, es usar sistemas a base de precompilados, que en un momento dado pueden verse comprometidos.
Así es como entran en juego las ‘compilaciones reproducibles’, que tal y como se indica permitirán al usuario reproducir el proceso de compilación de todos los paquetes a partir de su código fuente, de manera que pueda detectar si existen alteraciones. Hace tiempo que diferentes proyectos de software libre centrados en la seguridad y la privacidad utilizan este modelo, pero en lo que se refiere a las grandes distribuciones GNU/Linux, aún está por anunciarse que lo han logrado.
A la cabeza de los reproducible buils está Debian, con un 93,3% de paquetes listos. Cuánto tardarán hasta cubrir todos sus repositorios no se sabe, porque mantienen una inmesidad de software; pero es previsible que sean los primeros en ofrecer esta característica. ¿Serán los únicos? No. Desde Arch Linuxreportan avances y otras distribuciones de uso general interesadas en adoptar el modelo reproducible son Fedora y openSUSE. Pero nada de todo esto va a pasar mañana, por lo que solo queda esperar a ver si en 2018 lo consigue al menos «el sistema operativo universal».
«Las compilaciones reproducibles deberían ser la norma«, decía con razón indiscutible unos de los desarrolladores de Debian. No porque sean la panacea, que no lo son, sino porque es lo más correcto e inteligente. Así solo hay que poner el ojo en el código fuente, a ser posible, para bien. Sin prejuicios ni conspiraciones que valgan. O sí.