RPM est l’un des systèmes de gestion de paquets les plus utilisés dans le monde Linux. On le retrouve bien sûr dans les systèmes Red Hat (RHEL et Fedora), mais également dans openSUSE, Mageia et d’autres distributions.
La version 6.0, arrivée hier soir, contient un grand nombre de nouveautés. Elle commence par casser la compatibilité avec les paquets RPM v3 pour des questions de sécurité, mais conserve celle pour les versions 4 et 5. Nous évoquions cette compatibilité récemment dans notre article consacré à Fedora 43, qui a adopté RPM 6.0, tout en conservant des paquets en v4 pour l’instant.
L’un des plus gros apports de RPM 6.0 est le support de plusieurs signatures OpenPGP par paquet. La nouvelle version se distingue plus globalement par une poussée sur l’intégrité cryptographique, avec la vérification par défaut des signatures, le support des clés et signatures OpenPGP v6 et QPC (Post-quantum cryptography), ainsi que celui de la mise à jour des clés précédemment importées. RPM 6.0 gère également l’utilisation de l’ID complet de la clé ou de l’empreinte digitale pour identifier les clés OpenPGP.
Cet effort sur la sécurité se retrouve dans de nombreux changements dans RPM 6.0 et reflète des inquiétudes grandissantes autour de la gestion des paquets. Et bien que les technologies ne soient pas les mêmes, les attaques perpétrées contre NPM récemment ont remis une pièce dans la machine. Le nouveau RPM, en plus de proposer une documentation remaniée, rend également les archives de versions davantage reproductibles, donc vérifiables.
Commentaires (10)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 23/09/2025 à 19h30
Le 23/09/2025 à 19h44
Le 23/09/2025 à 20h22
Par contre, pour protéger dans le temps des messages chiffrés aujourd'hui et déchiffrables plus tard avec un ordinateur quantique, le chiffrement "post-quantique" est lui utile.
Le 23/09/2025 à 20h47
Ne pas oublié la durée de vie d'une red-hat aussi.
Le 23/09/2025 à 21h22
Les paquets liés à la cryptographie sont parmi les plus étudiés d'une distrib, Leur vie , le cycle de développement, etc... avant que le besoin d'en fasse réellement ressentir est tout à fait utile. On appelle ça la maturité.
L'opacité sur le développement du calcul quantique (notamment étatique) rend aussi très incertain cette notion de "dans quelques années". Si tu sais pas quand tu peux en avoir besoin, alors ça peut être demain. (ou hier).
Bansan n'a absoluement pas confirmé une telle inutilité et sauter de son message (très bien) à "c'est du buzz" parait extrêmement hasardeux.
Le 23/09/2025 à 22h44
Le 29/09/2025 à 22h54
Y'a pas mal de truc sous *nix qui ne bouge plus : imagine les dégat d'un diff / patch infesté (bon en vrai c'est une sous commande de bash, donc ça ne marcherait pas ;) )
enfin un algo post quantique n'est pas nécessairement plus lourd, donc il n'y a pas forcément d'utilité à s'en passer !
Le 30/09/2025 à 08h24
Le 02/10/2025 à 22h02
Modifié le 23/09/2025 à 22h18
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?