// HEISE ONLINE — LINUX & OPEN SOURCE
Homebrew 6.0 sichert Paketquellen ab
Homebrew 6.0 ist da: Externe Paketquellen müssen sich künftig als vertrauenswürdig erweisen. Dazu gibt es eine Linux-Sandbox und eine schnellere Standard-API.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Das Homebrew-Team hat Version 6.0.0 des Paketmanagers veröffentlicht. Das Release legt den Schwerpunkt auf Sicherheit, Tempo und Plattformunterstützung. Zu den wichtigsten Neuerungen zählen ein Vertrauensmodell für externe Paketquellen, eine schnellere interne API als neuer Standard und eine Sandbox unter Linux. Hinzu kommen zahlreiche Verbesserungen beim Werkzeug brew bundle sowie eine erste Unterstützung für macOS 27 „Golden Gate“.
Homebrew ist ein quelloffener Paketmanager für macOS und Linux. Entwickler installieren und aktualisieren damit Kommandozeilenwerkzeuge, Bibliotheken und Anwendungen. Neben den offiziellen Paketquellen lassen sich auch externe Repositories einbinden, sogenannte „Taps“. Über das Windows Subsystem for Linux (WSL) lässt sich Homebrew zudem mit Windows nutzen.
Die wichtigste Neuerung von Homebrew 6.0 ist das Sicherheitskonzept „Tap Trust“. Externe Taps können beliebigen Ruby-Code enthalten, der auf dem lokalen System läuft. Bislang ließen sich solche Paketquellen vergleichsweise unkompliziert einbinden. Künftig müssen Nutzer Taps von Drittanbietern ausdrücklich als vertrauenswürdig markieren, bevor Homebrew deren Code ausführt. Die offiziellen Homebrew-Repositories bleiben standardmäßig freigeschaltet.
Mit dem neuen Modell reagiert das Projekt auf Risiken in der Software-Lieferkette. Übernehmen Angreifer etwa ein Community-Repository, soll die zusätzliche Prüfung verhindern, dass dessen Code unbemerkt auf den Systemen der Nutzer landet. Homebrew liefert dafür neue Befehle zur Verwaltung vertrauenswürdiger Quellen und eine eigene Dokumentationsseite.
Standardmäßig aktiv ist nun auch die interne JSON-API von Homebrew. Sie fasst die Metadaten zu Paketen in einem einzigen Download zusammen und senkt so die Zahl der Netzwerkanfragen. Für Anwender wirkt sich das vor allem durch schnellere Updates und eine geringere Netzwerklast aus. Die Funktion stand seit Homebrew 5.0 optional bereit und wird jetzt zur Voreinstellung.
Auf Linux-Systemen führt Homebrew zudem eine Sandbox auf Basis von Bubblewrap ein. Unter macOS laufen Build-, Test- und Postinstallationsschritte bereits abgeschottet, nun zieht Linux nach. Bubblewrap ist ein schlankes Werkzeug, das Prozesse und Dateizugriffe isoliert. Die Maßnahme soll verhindern, dass Installations- und Build-Prozesse unnötig auf sensible Bereiche des Systems zugreifen.
Auch bei den Voreinstellungen hat das Projekt nachgebessert und sich dabei auf eine Nutzerumfrage gestützt. Entwickler sehen vor Installationen und Upgrades nun standardmäßig eine Übersicht der geplanten Änderungen und Abhängigkeiten. Erst nach einer Bestätigung führt Homebrew die Aktionen aus.
Darüber hinaus arbeitet Homebrew an vielen Stellen schneller: Es gibt Optimierungen beim Programmstart, eine parallele Verarbeitung einzelner Upgrade-Schritte und einen geringeren Ruby-Overhead. Das Kommando brew leaves, das eigenständig installierte Pakete ohne abhängige weitere Pakete auflistet, soll rund 30 Prozent schneller arbeiten.