Raspberry Pi OS hat Microsoft in der Quellenliste

Raspberry Pi Pico

Seit dem letzten Update von Raspberry Pi OS am 11. Januar ist ein Eintrag von Microsoft in der Quellenliste samt zugehörigem Schlüssel. Im Forum beschwerten sich Anwender in mehreren Threads über das Vorhandensein dieses Quelleneintrags und fragen sich, was es damit auf sich hat.

Microsoft VS Code-Repository

Letzteres ist schnell beantwortet: Die Raspberry Pi Foundation hat beschlossen, das Microsoft VS Code-Repository einzubinden, da dies die empfohlene IDE für den Raspberry Pi Pico sei. Der Eintrag findet sich aber nicht nur in Systemen mit grafischer Oberfläche, sondern völlig sinnfrei auch bei Raspberry Pi OS Lite, das ohne X-Server ausgeliefert wird.

So weit, so gut. Nicht gut ist die Art, wie dies allen Anwendern des Standard-Betriebssystems des RasPi untergeschoben wird. Der Eintrag /etc/apt/sources.list.d/vscode.list wird nicht wie üblich aus dem DEB-Paket heraus angelegt, sondern wird durch ein Post-Install-Script beim Update hinzugefügt.

Richtiger Zweig?

Der Eintrag ist im Zweig main angelegt, den Debian für Freie Software unter entsprechenden Lizenzen reserviert. Ich bin kein Lizenz-Experte, aber für mich ist es fraglich, ob VS Code den Regeln der DFSG entspricht, da die verwendete MIT-Lizenz einen Zusatz zu Third-Party-Software enthält:

Komponenten von Dritten.. Diese Software kann Komponenten Dritter beinhalten, die gesonderten rechtlichen Anmerkungen oder anderen Verträgen unterliegen, wie in der Software beiliegenden ThirdPartyNotices-Datei ggf. beschrieben ist.

VS Code Lizenz

Von daher würde ich dieses Repository, wenn überhaupt, dann eher im Zweig contrib sehen. lasse mich aber gerne belehren. Wohlgemerkt, das Vorhandensein des Repositories ändert nichts am Paketbestand, solange der Anwender nicht VS Code bewusst installiert. Das ist aber nicht der Punkt, denn: Der Anwender wird gar nicht gefragt, ob er diesen Eintrag einer Dritt-Quelle in der Quellenliste haben möchte und das ist nicht die feine Linux-Art.

Manuell entfernen

Sogar Google schafft es, bei der Installation von Google Earth, den Anwender zu fragen, ob ein Repo eingetragen werden soll. Bei Raspberry Pi OS bleibt ihm nur das Opt-out über ein Entfernen des Eintrags und des zugehörigen Schlüssels /etc/apt/trusted.gpg.d/microsoft.gpg. Dazu muss er aber zunächst vom Vorhandensein dieses Eintrags wissen.

Besonders in einem der Threads macht ein RasPi-Entwickler deutlich, dass er entweder nicht viel über die Gepflogenheiten bei Freier Software weiß oder es ihm egal ist, wenn er schreibt: »Wie wir bereits erwähnt haben, wird durch das Hinzufügen eines Repos zu Ihrer Distribution nichts in diese heruntergeladen. Es ist nur ein Verweis auf ein Repository. Sie müssen es also nicht entfernen«. Wer also damit einverstanden ist, dass bei jedem apt update ein Ping an Microsoft geht, der kann das Repo ruhig belassen.

Es wäre technisch überhaupt kein Problem, dieses Repository so anzubieten, dass der User gefragt wird, ob er es möchte. Für sowas gibt es bei Debian das Paket whiptail, das eine Methode bietet, um verschiedene Typen von Dialogboxen aus Shell-Skripten heraus darzustellen. Das wurde hier offensichtlich nicht gewollt.

5 19 votes
Article Rating

Verwandte Themen

5 19 votes
Article Rating
Abonnieren
Benachrichtige mich bei
47 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments