Lo sviluppatore e manutentore di Fwupd, Richard Hughes, ha annunciato che le versioni future del popolare programma di aggiornamento del firmware Linux utilizzato dalle distribuzioni GNU/Linux per aggiornare il firmware di vari dispositivi hardware abbandoneranno XZ Utils per utilizzare Zstandard (zstd). Dopo il problema della backdoor di XZ, ora gli sviluppatori open source sono alla ricerca di un’utility di compressione alternativa. La scelta più ovvia in questi giorni sembra essere proprio Zstandard (noto anche come zstd). Questa fornisce un algoritmo di compressione senza perdita di dati che si rivela più veloce di XZ durante la decompressione. Zstandard è stato sviluppato da Yann Collet su Facebook. Oltre ad essere noto per la compressione rapida, fornisce anche rapporti di compressione elevati rispetto a XZ. Secondo Richard Hughes, i metadati fwupd compressi con zstd sono circa il 3% più piccoli di quelli compressi con XZ.
Fwupd: molti sviluppatori stanno passando a zstd per migliorare la sicurezza
Il vero vantaggio dell'utilizzo di Zstandard per la compressione dei metadati fwupd è che gli sviluppatori ora si fidano molto più di XZ. Questo è solo l'inizio, poiché sempre più progetti open source inizieranno ad adottare zstd per garantire la sicurezza dei propri utenti. Come riportato da Hughes sul proprio blog: “questa settimana abbiamo appreso che xz non era il tipo di cosa da cui vogliamo dipendere. Per estrema cautela (e per essere chiari, da quanto ho capito non ci sono problemi di sicurezza di alcun tipo con fwupd o LVFS) ho modificato LVFS in modo che generi anche metadati zstd. Ho fatto anche in modo che libxmlb non dipenda più da lzma e ho cambiato fwupd per preferire i metadati zstd rispetto ai metadati xz”.
Molte popolari distribuzioni GNU/Linux utilizzano già zstd come metodo predefinito di compressione dei pacchetti, per installazioni più veloci. Tra questi vi è Arch Linux, che ha adottato il metodo Zstandard nell'ottobre 2019 con il rilascio del gestore pacchetti Pacman 5.2. A gennaio 2020 è poi passato da XZ a zstd per tutti i pacchetti nel repository ufficiale. Richard Hughes ha infine annunciato che sta anche valutando la possibilità di imporre commit firmati per fwupd. Ciò dovrebbe servire a prevenire problemi della catena di approvvigionamento come la backdoor XZ. Tuttavia, questo è qualcosa di cui si sta ancora discutendo sulla pagina GitHub del progetto.