Homebrew 6.0 sichert Paketquellen ab

Das Homebrew-Team hat Version 6.0.0 des Paketmanagers veröffentlicht. Das Release legt den Schwerpunkt auf Sicherheit, Tempo und Plattformunterstützung. Zu den wichtigsten Neuerungen zählen ein Vertrauensmodell für externe Paketquellen, eine schnellere interne API als neuer Standard und eine Sandbox unter Linux. Hinzu kommen zahlreiche Verbesserungen beim Werkzeug brew bundle sowie eine erste Unterstützung für macOS 27 „Golden Gate“.

Homebrew ist ein quelloffener Paketmanager für macOS und Linux. Entwickler installieren und aktualisieren damit Kommandozeilenwerkzeuge, Bibliotheken und Anwendungen. Neben den offiziellen Paketquellen lassen sich auch externe Repositories einbinden, sogenannte „Taps“. Über das Windows Subsystem for Linux (WSL) lässt sich Homebrew zudem mit Windows nutzen.

Taps müssen sich künftig als vertrauenswürdig erweisen

Die wichtigste Neuerung von Homebrew 6.0 ist das Sicherheitskonzept „Tap Trust“. Externe Taps können beliebigen Ruby-Code enthalten, der auf dem lokalen System läuft. Bislang ließen sich solche Paketquellen vergleichsweise unkompliziert einbinden. Künftig müssen Nutzer Taps von Drittanbietern ausdrücklich als vertrauenswürdig markieren, bevor Homebrew deren Code ausführt. Die offiziellen Homebrew-Repositories bleiben standardmäßig freigeschaltet.

Mit dem neuen Modell reagiert das Projekt auf Risiken in der Software-Lieferkette. Übernehmen Angreifer etwa ein Community-Repository, soll die zusätzliche Prüfung verhindern, dass dessen Code unbemerkt auf den Systemen der Nutzer landet. Homebrew liefert dafür neue Befehle zur Verwaltung vertrauenswürdiger Quellen und eine eigene Dokumentationsseite.

Neue API als Standard, Sandbox für Linux

Standardmäßig aktiv ist nun auch die interne JSON-API von Homebrew. Sie fasst die Metadaten zu Paketen in einem einzigen Download zusammen und senkt so die Zahl der Netzwerkanfragen. Für Anwender wirkt sich das vor allem durch schnellere Updates und eine geringere Netzwerklast aus. Die Funktion stand seit Homebrew 5.0 optional bereit und wird jetzt zur Voreinstellung.

Auf Linux-Systemen führt Homebrew zudem eine Sandbox auf Basis von Bubblewrap ein. Unter macOS laufen Build-, Test- und Postinstallationsschritte bereits abgeschottet, nun zieht Linux nach. Bubblewrap ist ein schlankes Werkzeug, das Prozesse und Dateizugriffe isoliert. Die Maßnahme soll verhindern, dass Installations- und Build-Prozesse unnötig auf sensible Bereiche des Systems zugreifen.

Bessere Standardeinstellungen und mehr Tempo

Auch bei den Voreinstellungen hat das Projekt nachgebessert und sich dabei auf eine Nutzerumfrage gestützt. Entwickler sehen vor Installationen und Upgrades nun standardmäßig eine Übersicht der geplanten Änderungen und Abhängigkeiten. Erst nach einer Bestätigung führt Homebrew die Aktionen aus.

Darüber hinaus arbeitet Homebrew an vielen Stellen schneller: Es gibt Optimierungen beim Programmstart, eine parallele Verarbeitung einzelner Upgrade-Schritte und einen geringeren Ruby-Overhead. Das Kommando brew leaves, das eigenständig installierte Pakete ohne abhängige weitere Pakete auflistet, soll rund 30 Prozent schneller arbeiten.

Deutlich ausgebaut hat das Projekt brew bundle, mit dem sich komplette Entwicklungsumgebungen über eine Brewfile beschreiben lassen. Pakete installiert das Werkzeug nun standardmäßig parallel. Außerdem unterstützt es zusätzliche Ökosysteme wie npm und den kubectl-Plugin-Manager Krew. Unter Windows arbeitet brew bundle jetzt auch mit dem Microsoft-Paketmanager Winget zusammen. Hinzu kommen erweiterte Funktionen zum Aufräumen installierter Pakete.

Im Sicherheitsbereich verweist das Projekt auf drei behobene Schwachstellen. Darunter fallen ein Problem bei Download-Weiterleitungen sowie Lücken im macOS-Installer, die unter bestimmten Umständen eine lokale Rechteausweitung erlaubten. Darüber hinaus filtert Homebrew sensible Umgebungsvariablen nun strenger. Eine neue Dokumentationsseite beschreibt zudem die Maßnahmen gegen Risiken in der Software-Lieferkette.

Neue Befehle und ein deklaratives Installationsmodell

Für Entwickler kommen mehrere Werkzeuge hinzu. Das neue Kommando brew exec erinnert an npx aus der Node.js-Welt und führt Programme in der Umgebung eines Homebrew-Pakets aus. Ebenfalls neu ist brew vulns, das installierte Pakete auf bekannte Sicherheitslücken prüft. Es liegt vorerst als separates Homebrew-Tap vor.

Technisch interessant ist außerdem das neue „Install Steps Framework“. Paketbetreuer können bestimmte Installationsschritte künftig als reine Daten beschreiben, statt sie als ausführbaren Ruby-Code zu hinterlegen. Für einfache Aufgaben wie das Anlegen von Verzeichnissen, das Verschieben von Dateien oder das Erzeugen symbolischer Links muss Homebrew dadurch weniger Code herunterladen und ausführen. Das verspricht Vorteile bei Sicherheit, Wartbarkeit und Tempo.

macOS 27 in Sicht, Intel-Support läuft aus

Mit Homebrew 6.0 unterstützt der Paketmanager erstmals macOS 27 „Golden Gate“ in Grundzügen. Gleichzeitig kündigt das Team das schrittweise Aus für Intel-Macs an, da Apple mit macOS 27 keine Intel-Systeme mehr unterstützt. Ab September 2026 will Homebrew keine neuen vorkompilierten Pakete mehr für macOS auf Intel-Prozessoren bereitstellen. Ein Jahr später soll die Unterstützung vollständig wegfallen.

Detaillierte Informationen zum neuen Release finden sich auf der Webseite des Projekts.

(fo)