TrueNAS har länge varit ett populärt lagringssystem för både företag och teknikentusiaster som driver egna servrar. Men ett nyligen fattat beslut att flytta projektets byggsystem från ett publikt GitHub-repo till intern infrastruktur har väckt diskussioner i open-source-världen. Kritiker menar att förändringen kan minska transparensen kring hur de officiella versionerna skapas, medan utvecklarna framhåller säkerhetskrav och praktiska skäl bakom beslutet.
TrueNAS är ett av de mest populära systemen för nätverkslagring (NAS) i både företag och hemmalabb. Plattformen bygger till stor del på öppen källkod och används av allt från entusiaster till datacenter. Nyligen har dock projektet hamnat i centrum för en diskussion om öppenhet efter att utvecklarna beslutat att avveckla sitt publika byggsystem på GitHub.
Beslutet innebär att processen som används för att skapa de officiella TrueNAS-utgåvorna inte längre är offentligt tillgänglig.
Ett arkiverat GitHub-repo väckte uppmärksamhet
Förändringen blev synlig när TrueNAS tidigare byggrepository på GitHub märktes som föråldrat (deprecated). I meddelandet stod att projektets byggsystem hade flyttats till intern infrastruktur.
Utvecklarna förklarade att flytten var nödvändig för att uppfylla nya säkerhetskrav, bland annat stöd för funktioner kopplade till Secure Boot och plattformens integritet. Dessa funktioner kräver ofta strikt kontroll över hur programvara byggs och signeras innan den distribueras.
Samtidigt meddelade projektet att repositoryt inte längre kommer att ta emot uppdateringar, pull requests eller buggrapporter. Det finns kvar enbart som historisk referens.
Diskussioner i open-source-communityn
Beslutet väckte snabbt reaktioner i forum och diskussionstrådar bland användare som använder TrueNAS i hemmalabb och självhostade miljöer.
En del av kritiken handlade om att Secure Boot i sig inte nödvändigtvis kräver ett privat byggsystem. Många Linuxdistributioner publicerar sina byggverktyg öppet, samtidigt som de håller själva signeringsnycklarna privata.
Kort efter diskussionerna ändrades dessutom texten i repositoryt. Referensen till Secure Boot togs bort och ersattes av en kortare notis om att projektet inte längre underhålls.
Transparens och reproducerbara byggen
Den centrala frågan för många användare handlar inte om licenser eller tillgång till källkod – utan om transparens i hur programvaran byggs.
När ett projekt har ett offentligt byggsystem kan utvecklare och säkerhetsforskare granska exakt vilka steg som används för att skapa en officiell version. I bästa fall kan man även reproducera samma binära filer själv, vilket ger en extra säkerhetskontroll.
Om byggprocessen i stället körs i ett internt system blir det svårare för externa personer att verifiera att de distribuerade programfilerna verkligen motsvarar den offentliga källkoden.
Utvecklarna: dubbla system är för mycket arbete
I en diskussion på Reddit svarade en TrueNAS-anställd på kritiken. Enligt honom skulle det innebära ett stort merarbete att både driva ett internt byggsystem för officiella releaser och samtidigt underhålla ett publikt system för communityn.
Han påpekade också att projektets öppna komponenter fortfarande finns tillgängliga och kan byggas av andra om communityn vill underhålla en egen variant.
Utvecklaren uttryckte dessutom viss frustration över att externa projekt ibland bygger vidare på TrueNAS utan att bidra tillbaka till utvecklingen.
Fortfarande till stor del öppen källkod
Trots förändringen är själva TrueNAS-plattformen fortfarande till stor del baserad på öppen källkod. Systemet bygger bland annat på Debian, OpenZFS och flera andra open-source-projekt.
Stora delar av koden distribueras under licenser som GNU GPLv3, vilket innebär att källkoden måste göras tillgänglig när binära versioner distribueras.
Det betyder att själva programvaran fortfarande är öppen – även om byggprocessen för de officiella versionerna nu hanteras internt.
Ett vanligt upplägg i företagsprojekt
I praktiken är TrueNAS inte ensamt om att ha en privat release-pipeline. Många företag som utvecklar open-source-baserade produkter använder interna byggsystem för att hantera signeringsnycklar, kvalitetssäkring och säkerhetskontroller innan en version släpps.
Detta kan vara ett sätt att skydda distributionsprocessen, men det innebär också att delar av utvecklingskedjan blir mindre transparenta för externa utvecklare.
Debatten lär fortsätta
För tillfället finns TrueNAS tidigare byggrepository kvar som arkiverad referens, medan de officiella versionerna fortsätter att byggas i iXsystems interna infrastruktur.
Projektet har inte annonserat några förändringar i licensmodellen eller i sin open-source-strategi. Men diskussionen visar hur viktig transparens i byggprocesser har blivit i dagens open-source-värld – särskilt när mjukvaran används i kritisk infrastruktur.
Frågan är därför inte om TrueNAS fortfarande är öppen källkod. Den verkliga diskussionen handlar snarare om hur öppet ett open-source-projekt bör vara när det gäller själva vägen från källkod till färdig programvara.
