Trình quản lý gói chức năng Guix đang bị loại bỏ khỏi các phiên bản ổn định và thử nghiệm của Debian sau các lỗ hổng bảo mật và những khó khăn bảo trì ngày càng tăng. Đây là trường hợp hiếm hoi một gói phần mềm bị rút khỏi các phiên bản ổn định của Debian , làm nổi bật những thách thức trong việc duy trì phần mềm phát hành liên tục trong các mô hình phân phối truyền thống.
Guix cung cấp một cách tiếp cận khác biệt đối với quản lý gói so với hệ thống APT của Debian . Nó cung cấp các bản nâng cấp giao dịch, khôi phục và cho phép người dùng không có đặc quyền quản lý các gói. Không giống như trình quản lý gói Nix tương tự, Guix sử dụng triển khai Guile của Scheme cho các định nghĩa gói.
Các lỗ hổng bảo mật gây ra khủng hoảng
Quá trình loại bỏ bắt đầu khi dự án Guix tiết lộ một số lỗ hổng bảo mật vào ngày 24 tháng 6 năm 2025. Hai lỗ hổng nghiêm trọng, CVE-2025-46415 và CVE-2025-46416 , có thể cho phép người dùng cục bộ có được đặc quyền nâng cao và thao tác đầu ra xây dựng. Dự án Guix đã cung cấp hướng dẫn giảm thiểu nhưng không phát hành phiên bản ổn định mới, thay vào đó dựa vào mô hình phát hành liên tục của họ.
Điều này tạo ra một vấn đề đáng kể cho người bảo trì gói Debian Vagrant Cascadian . Các bản sửa lỗi bảo mật được trộn lẫn với rất nhiều thay đổi khác từ upstream, khiến việc backport chỉ các bản vá bảo mật cần thiết trở nên cực kỳ khó khăn mà không đưa vào các tính năng mới đáng kể và sự bất ổn tiềm tàng.
Lỗ hổng Bảo mật:
- CVE-2025-46415: Leo thang đặc quyền cục bộ cho người dùng build
- CVE-2025-46416: Thao túng đầu ra build và leo thang đặc quyền daemon
- Ảnh hưởng: Các trình quản lý gói Guix , Nix , và Lix
- Yêu cầu vá lỗi: ~50 commit giữa phiên bản 1.4.0 và các bản sửa lỗi
Gánh nặng bảo trì trở nên không bền vững
Cuộc thảo luận cộng đồng tiết lộ những thách thức sâu sắc hơn mà các nhà bảo trì phân phối phải đối mặt. Denis Carikli , người đã cố gắng giúp đỡ với việc backport, đã áp dụng khoảng 50 bản vá liên quan đến guix-daemon giữa phiên bản 1.4.0 và các bản sửa lỗi bảo mật. Nỗ lực to lớn này làm nổi bật sự không tương thích giữa mô hình phát triển phát hành liên tục của Guix và cách tiếp cận nhánh ổn định của Debian .
Cascadian lưu ý các thách thức bảo trì bổ sung, bao gồm quản lý các phụ thuộc Guile và xử lý sở thích của Guix đối với các phiên bản GCC cũ hơn trong khi Debian vận chuyển các phiên bản trình biên dịch mới hơn. Các thành viên cộng đồng đã xác định các vấn đề cụ thể với khả năng tương thích GCC 15 , nơi các bao gồm tiêu đề ngầm định đã bị loại bỏ, phá vỡ các bản dựng trước đây hoạt động.
Bất cứ khi nào bạn chạy một phần mềm thông qua các quy trình bên ngoài luồng công việc phát triển chính, bạn sẽ tìm thấy những bất ngờ đáng được sửa chữa.
So sánh hỗ trợ kiến trúc:
- Gói Debian Guix : x86-64, Arm64, PowerPC, RISC-V, 32-bit Arm, 32-bit x86
- Tệp nhị phân Guix gốc: x86-64, Arm64, PowerPC, 32-bit Arm, 32-bit x86 (không có RISC-V)
Tác động hạn chế đến người dùng
Theo thống kê cuộc thi phổ biến của Debian , ít hơn 230 hệ thống hiện tại có Guix được cài đặt, đại diện cho ít hơn 0,09% các hệ thống tham gia. Trong khi một số thành viên cộng đồng đặt câu hỏi về tính chính xác của các thống kê này do người dùng quan tâm đến quyền riêng tư vô hiệu hóa báo cáo, con số thấp cho thấy việc loại bỏ sẽ không ảnh hưởng đáng kể đến hầu hết người dùng Debian .
Việc loại bỏ ảnh hưởng đến nhiều phiên bản Debian bao gồm bookworm ổn định hiện tại và các phiên bản thử nghiệm trixie . Người dùng đã cài đặt Guix sẽ bị mắc kẹt với các phiên bản dễ bị tổn thương trừ khi họ cập nhật thủ công bằng cách sử dụng các tệp nhị phân upstream.
Thống kê sử dụng:
- Báo cáo popcon của Debian : <230 lần cài đặt Guix
- Tỷ lệ phần trăm các hệ thống Debian : <0.09%
- So sánh: firefox-esr có ~118,000 lần cài đặt (44.5%)
- Lưu ý: Thống kê có thể không phản ánh đầy đủ mức độ sử dụng thực tế do cài đặt quyền riêng tư
Triển vọng tương lai
Dự án Guix đã áp dụng một kế hoạch cho các bản phát hành hàng năm thường xuyên bắt đầu từ năm 2025, nhưng điều này sẽ không giải quyết vấn đề cơ bản. Các bản phát hành này vẫn sẽ tích lũy thay vì cung cấp các nhánh ổn định với các bản cập nhật chỉ bảo mật mà các bản phân phối như Debian yêu cầu.
Người dùng vẫn có thể cài đặt Guix bằng cách sử dụng các tệp nhị phân được cung cấp trực tiếp bởi dự án Guix , mặc dù điều này có thể khiến một số người dùng kiến trúc không có hỗ trợ. Dự án Guix không cung cấp các tệp nhị phân RISC-V , trong khi gói của Debian hỗ trợ sáu kiến trúc khác nhau.
Tình huống này minh họa căng thẳng đang diễn ra giữa các mô hình phát triển phát hành liên tục hiện đại và các cách tiếp cận đóng gói phân phối truyền thống. Trong khi cả hai mô hình đều có những ưu điểm của chúng, việc tìm ra điểm chung cho phần mềm phức tạp như trình quản lý gói vẫn là thách thức.
Tham khảo: Removing Guix from Debian