A equipe do projeto Shelly-ALPM, gerenciador de pacotes alternativo para sistemas baseados em Alpine Linux, lançou oficialmente a versão 2.2.0 em 15 de abril de 2024. O lançamento marca um avanço significativo na segurança, confiabilidade e usabilidade da ferramenta, especialmente para administradores de sistemas e desenvolvedores que dependem de ambientes leves e seguros.
O que é o Shelly-ALPM?
O Shelly-ALPM é uma implementação em Rust do gerenciador de pacotes apk, projetada para ser mais robusta, segura e extensível que a versão original mantida pela Alpine Linux Foundation. Diferentemente do apk tradicional, o Shelly-ALPM prioriza verificação criptográfica rigorosa, arquitetura modular e integração nativa com pipelines modernos de CI/CD.
Principais novidades da versão 2.2.0
✅ Suporte nativo a assinaturas GPG para repositórios
A partir desta versão, o Shelly-ALPM passa a validar automaticamente as assinaturas GPG dos índices de pacotes (APKINDEX.tar.gz.sig) ao sincronizar repositórios. Isso impede instalações acidentais ou maliciosas de pacotes não autenticados, reforçando a cadeia de confiança desde o download até a instalação.
✅ Melhoria na resolução de dependências
Foi aprimorada a lógica de resolução de dependências transitivas, especialmente em cenários com múltiplas fontes de repositórios (oficiais + community + custom). O resolvedor agora evita conflitos entre versões de pacotes com nomes idênticos mas provenientes de diferentes repositories, reduzindo erros como unsatisfiable constraints.
✅ Compatibilidade com Alpine Linux 3.20 e futuras versões
A atualização inclui ajustes para alinhar-se às mudanças introduzidas no formato do APKINDEX e nas políticas de assinatura do Alpine 3.20. Isso garante que usuários de versões recentes do Alpine — incluindo quem utiliza alpine:edge em contêineres Docker — possam adotar o Shelly-ALPM sem interrupções.
✅ Novo comando shelly-alpm verify
Adicionado o comando shelly-alpm verify, que permite verificar a integridade e autenticidade de pacotes instalados localmente contra os índices assinados. Útil para auditorias de segurança e compliance em ambientes regulados.
Contexto e evolução do projeto
A versão 2.2.0 sucede a 2.1.0, lançada em janeiro de 2024, que já havia introduzido suporte inicial a repositórios assinados e correções críticas de memória. Desde seu início em 2023, o Shelly-ALPM tem ganhado tração entre equipes que buscam alternativas mais auditáveis ao apk, especialmente em contextos de zero-trust e DevSecOps.
O projeto é desenvolvido pela Seafoam Labs, organização independente focada em ferramentas de infraestrutura segura e open source. Todo o código-fonte está disponível sob licença MIT no repositório oficial: Shelly-ALPM no GitHub.
Como atualizar
Usuários que já utilizam o Shelly-ALPM podem atualizar via Cargo (se instalado via cargo install):
cargo install --force shelly-alpm
Para instalação limpa ou em ambientes sem Rust, binários pré-compilados estão disponíveis na página de releases v2.2.0, com suporte para x86_64, aarch64 e riscv64.
Próximos passos
Segundo o roadmap divulgado junto ao lançamento, a próxima versão (2.3.0) terá foco em integração com o Alpine Package Builder (APKBUILD), permitindo compilação e empacotamento de pacotes diretamente via shelly-alpm build. Também está prevista a adição de um modo offline-first, útil para ambientes com conectividade limitada.
A comunidade pode acompanhar desenvolvimentos, relatar bugs ou contribuir com melhorias no repositório oficial