受XZ 恶意代码远程代码执行安全事件的影响,越来越多的开源项目出于谨慎,开始重新评估对 XZ 的依赖性。最新采取行动的是带有 LVFS 的 Fwupd Linux 固件更新实用程序,它现在更倾向于使用 Zstd 压缩,而不是 XZ。
Fwupd 一直依赖 XZ 压缩其大型 XML 有效载荷,以加快网络下载速度并节省 CDN 资源。XZ 的压缩效果比以前使用的 Gzip 更好。但出于对 XZ 项目的谨慎考虑,Richard Hughes 现在已转而使用 Zstd。
Zstd 不仅更值得信赖,而且压缩后的元数据比 XZ 小 3%,解压速度也更快。
这一变化将在下周发布的 Fwupd 版本中体现。有关 Fwupd 从 XZ 迁移到 Zstd 的更多详情,请参阅本博文。