Debian schlägt ein neues Kapitel in der Paketverwaltung auf: Mit dem Start der offenen Beta von tag2upload vor einigen Tagen können Debian-Entwickler und -Maintainer ab sofort Pakete per signiertem Git-Tag hochladen. Damit werden die Arbeitsabläufe deutlich vereinfacht.
Was ist tag2upload?
Statt wie bisher lokale Quellpakete zu bauen und diese manuell hochzuladen, genügt künftig ein signierter Git-Tag im offiziellen Repository auf Salsa, der GitLab-Entwicklungsplattform von Debian. Das neue Tool git-debpush erstellt und signiert diesen Tag; ein Push stößt dann automatisiert den Upload-Prozess an. Der tag2upload-Service prüft die Signatur gegen den Debian-Schlüsselbund, erzeugt die nötigen .dsc- und .changes-Dateien und übergibt diese an den Repository-Server.
Kein leichter Weg
Die Einführung von tag2upload ist, wie so oft bei Debian, das Ergebnis jahrelanger Diskussionen und technischer wie politischer Hürden innerhalb der Distribution. Nach einer langen Debatte, die fast in einer General Resolution (GR) endete, konnte sich das Projektteam um Ian Jackson und Sean Whitton im Juli 2024 doch noch gegen die Einwände des mächtigen Teams der FTP-Master durchsetzen. Diese forderten eine signierte .dsc-Datei (Debian Source Control) vom Betreuer, die sicherstellt, dass das von tag2upload erstellte Quellpaket auch das ist, was der Betreuer hochladen wollte.
Vorteile für Entwickler
Potenzielle Fehlerquellen beim lokalen Paketbau werden beseitigt, es wird mehr Nachvollziehbarkeit durch signierte Tags erreicht und ein Arbeitsablauf etabliert, der sich an Git-basierten Entwicklungsprozessen orientiert. Dies kommt auch der Sicherheit zugute, da jeder Upload und jede Änderung eindeutig einem Uploader zugeordnet werden kann.
Die Ankündigung der offenen Beta auf der Mailingliste fordert die Anwender auf, sehr vorsichtig mit dem Tool umzugehen und die Ergebnisse sorgsam zu prüfen. Wegen des Freeze sollen Pakete nur in den Experimental-Zweig hochgeladen werden. Vielleicht kann tag2upload Entwickler, die heute noch ohne Git-Flow arbeiten, von dieser Methode überzeugen und damit etwas Komplexität aus dem Prozess entfernen.
Das klingt alles nicht schlecht.
Da bin ich hin und her gerissen, fuer einen Teil klingt es besser und fuer einen Anderen nicht so gut.
Als ich noch bei Debian war, haette ich es wahrscheinlich auch abgelehnt.
Jetzt bin ich da etwas im Zwiespalt.
Es wird sich zeigen wie es dann auf Dauer funktioniert und ob es ggf. auch schwere oder weniger schwere Probleme mit sich bringt.