Pular para o conteúdo
Shelly-ALPM 2.2.0: nova versão do gerenciador de pacotes para Alpine Linux

Shelly-ALPM 2.2.0: nova versão do gerenciador de pacotes para Alpine Linux

Lançamento traz suporte a assinaturas GPG, melhorias na resolução de dependências e compatibilidade com Alpine 3.20+ — saiba o que mudou.

A equipe do projeto Shelly-ALPM, gerenciador de pacotes alternativo para sistemas baseados em Alpine Linux, lançou oficialmente a versão 2.2.0 em 15 de abril de 2024. O lançamento marca um avanço significativo na segurança, confiabilidade e usabilidade da ferramenta, especialmente para administradores de sistemas e desenvolvedores que dependem de ambientes leves e seguros.

O que é o Shelly-ALPM?

O Shelly-ALPM é uma implementação em Rust do gerenciador de pacotes apk, projetada para ser mais robusta, segura e extensível que a versão original mantida pela Alpine Linux Foundation. Diferentemente do apk tradicional, o Shelly-ALPM prioriza verificação criptográfica rigorosa, arquitetura modular e integração nativa com pipelines modernos de CI/CD.

Principais novidades da versão 2.2.0

✅ Suporte nativo a assinaturas GPG para repositórios

A partir desta versão, o Shelly-ALPM passa a validar automaticamente as assinaturas GPG dos índices de pacotes (APKINDEX.tar.gz.sig) ao sincronizar repositórios. Isso impede instalações acidentais ou maliciosas de pacotes não autenticados, reforçando a cadeia de confiança desde o download até a instalação.

✅ Melhoria na resolução de dependências

Foi aprimorada a lógica de resolução de dependências transitivas, especialmente em cenários com múltiplas fontes de repositórios (oficiais + community + custom). O resolvedor agora evita conflitos entre versões de pacotes com nomes idênticos mas provenientes de diferentes repositories, reduzindo erros como unsatisfiable constraints.

✅ Compatibilidade com Alpine Linux 3.20 e futuras versões

A atualização inclui ajustes para alinhar-se às mudanças introduzidas no formato do APKINDEX e nas políticas de assinatura do Alpine 3.20. Isso garante que usuários de versões recentes do Alpine — incluindo quem utiliza alpine:edge em contêineres Docker — possam adotar o Shelly-ALPM sem interrupções.

✅ Novo comando shelly-alpm verify

Adicionado o comando shelly-alpm verify, que permite verificar a integridade e autenticidade de pacotes instalados localmente contra os índices assinados. Útil para auditorias de segurança e compliance em ambientes regulados.

Contexto e evolução do projeto

A versão 2.2.0 sucede a 2.1.0, lançada em janeiro de 2024, que já havia introduzido suporte inicial a repositórios assinados e correções críticas de memória. Desde seu início em 2023, o Shelly-ALPM tem ganhado tração entre equipes que buscam alternativas mais auditáveis ao apk, especialmente em contextos de zero-trust e DevSecOps.

O projeto é desenvolvido pela Seafoam Labs, organização independente focada em ferramentas de infraestrutura segura e open source. Todo o código-fonte está disponível sob licença MIT no repositório oficial: Shelly-ALPM no GitHub.

Como atualizar

Usuários que já utilizam o Shelly-ALPM podem atualizar via Cargo (se instalado via cargo install):

cargo install --force shelly-alpm

Para instalação limpa ou em ambientes sem Rust, binários pré-compilados estão disponíveis na página de releases v2.2.0, com suporte para x86_64, aarch64 e riscv64.

Próximos passos

Segundo o roadmap divulgado junto ao lançamento, a próxima versão (2.3.0) terá foco em integração com o Alpine Package Builder (APKBUILD), permitindo compilação e empacotamento de pacotes diretamente via shelly-alpm build. Também está prevista a adição de um modo offline-first, útil para ambientes com conectividade limitada.

A comunidade pode acompanhar desenvolvimentos, relatar bugs ou contribuir com melhorias no repositório oficial

Via github.com. Você pode conferir o post original em inglês:

v2.2.0 Release Notes

Por · Última atualização: