KDE Linux memutuskan untuk menghapus Arch User Repository, atau AUR, dari pipeline build-nya. Langkah ini diambil karena kekhawatiran soal keamanan dan keandalan, dua hal yang dinilai terlalu penting untuk dikompromikan dalam proses pengembangan sistem operasi.
Keputusan ini menarik perhatian karena AUR selama ini dikenal luas sebagai sumber paket tambahan yang sangat membantu pengguna Arch Linux. Namun di balik kemudahannya, KDE menilai AUR tidak lagi cocok dipakai dalam bagian sensitif dari proses pembangunan KDE Linux.
Yang perlu digarisbawahi, perubahan ini tidak berarti AUR diblokir untuk pengguna akhir. Pengguna KDE Linux tetap bisa memakai AUR untuk memasang paket, karena yang dihentikan hanya pemakaiannya di jalur build internal proyek.
Fokus pada risiko build, bukan larangan untuk pengguna
Penegasan itu penting karena AUR punya posisi yang cukup unik di ekosistem Arch. Banyak aplikasi dan utilitas yang mudah ditemukan lewat AUR, sehingga repositori ini sering dianggap sebagai pelengkap penting ketika paket yang dibutuhkan tidak tersedia di repositori utama.
Meski begitu, standar yang dibutuhkan untuk membangun sistem operasi berbeda dengan standar untuk pemakaian pribadi. Di sisi pengembangan, KDE menilai risiko yang melekat pada AUR terlalu besar jika dibiarkan menjadi bagian dari pipeline build.
Nate Graham, pengembang KDE Plasma, menjelaskan perubahan ini dalam pembaruan soal KDE Linux yang ia terbitkan di blog Pointiest Stick. Dalam catatan tentang perkembangan KDE Linux pada Mei 2026, ia menyebut penghapusan AUR dari pipeline build sebagai salah satu perubahan penting.
KDE sendiri selama ini lebih dikenal lewat desktop environment Plasma. Namun proyek ini juga mengembangkan KDE Linux, sistem operasi penuh yang memanfaatkan beragam perangkat lunak buatan KDE.
Alasan keamanan dan keandalan
Alasan paling utama di balik keputusan ini adalah keamanan. Graham sebelumnya pernah mengajukan tugas bertajuk “Stop using AUR” di halaman proyek KDE Linux dan merinci mengapa AUR sebaiknya tidak lagi dipakai dalam proses build.
Menurut penjelasannya, tingkat keamanan AUR secara substansial lebih rendah dibanding paket di repositori utama Arch. Ia juga mencatat bahwa malware telah ditemukan di paket-paket AUR beberapa kali dalam periode terakhir.
Faktor berikutnya adalah keandalan layanan. KDE menilai gangguan pada AUR dapat langsung menghambat pipeline paket dan membuat konten yang seharusnya selalu mutakhir menjadi tertinggal.
Graham menyebut salah satu gangguan terakhir berlangsung selama beberapa hari, dari 2025-08-12 hingga 2025-08-15. Saat itu, mereka yang bergantung pada git master tetap mutakhir berisiko menerima konten yang sudah basi karena proses pipeline terblokir.
Bagi proyek yang ingin menjaga ritme pengembangan tetap cepat dan stabil, jeda seperti itu bukan masalah kecil. Karena itu, KDE memilih mengurangi ketergantungan pada komponen eksternal yang bisa menghentikan alur kerja saat terjadi gangguan.
Bertentangan dengan tujuan proyek
Selain soal malware dan downtime, KDE juga menilai penggunaan AUR tidak sejalan dengan arah proyeknya. Salah satu prinsip yang disebut Graham adalah kebijakan bahwa pengembangan seharusnya tidak menuntut pengetahuan packaging.
Dengan kata lain, KDE ingin membuat proses pengembangan lebih mudah diakses tanpa mensyaratkan pemahaman mendalam tentang cara paket dibangun dan dikelola di platform tertentu. Ketergantungan pada AUR dipandang bertentangan dengan tujuan tersebut.
KDE Linux juga ingin tetap seplatform-agnostik mungkin. Tujuan ini penting agar komponen inti bisa ditukar tanpa memicu masalah besar di keseluruhan sistem.
Ketika sebuah pipeline terlalu bergantung pada solusi yang sangat spesifik pada satu ekosistem, ruang gerak proyek menjadi lebih sempit. Dari sudut pandang itu, melepas AUR dari build pipeline bukan hanya soal keamanan, tetapi juga soal arah arsitektur proyek.
Peran fenrir dan perubahan internal
Dalam penjelasan Graham, ada satu detail internal lain yang ikut membuka jalan bagi perubahan ini, yaitu penghapusan fenrir. Ia menyebut komponen itu tidak melakukan banyak hal di KDE Linux, dan setelah fenrir dihapus, tim akhirnya bisa berhenti memakai AUR sebagai bagian dari pipeline build.
Graham tidak menjabarkan secara rinci mengapa fenrir menjadi elemen kunci yang membuat AUR tetap dipakai sebelumnya. Namun ia memberi sinyal bahwa komponen tersebut memang harus disingkirkan lebih dulu sebelum ketergantungan pada AUR bisa dilepas.
Detail ini menunjukkan bahwa keputusan teknis semacam ini jarang berdiri sendiri. Sering kali, ada rangkaian perubahan internal yang harus diselesaikan lebih dulu sebelum sebuah proyek bisa memutus hubungan dengan alat atau layanan tertentu.
Bagi pengguna KDE Linux, dampaknya relatif terbatas dalam pemakaian sehari-hari. Mereka tetap dapat memakai AUR untuk mengunduh paket, selama itu dilakukan sebagai pilihan pengguna, bukan sebagai bagian dari proses build resmi sistem.
Perbedaan ini menjadi inti dari keputusan KDE. AUR masih berguna sebagai sarana distribusi paket untuk pengguna, tetapi dinilai terlalu berisiko untuk dipakai dalam tahap pengembangan sistem operasi yang membutuhkan keamanan lebih tinggi, reliabilitas stabil, dan ketergantungan platform yang lebih longgar.
Source: www.xda-developers.com-
-
-
-
