Kees Cook የቀድሞ የkernel.org የስርአት አስተዳዳሪ እና የኡቡንቱ ደህንነት ቡድን መሪ አሁን አንድሮይድ እና ChromeOSን ለመጠበቅ በጎግል ላይ የሚሰራው የተረጋጋ የከርነል ቅርንጫፎች ላይ ያሉ ስህተቶችን የማስተካከል ሂደት ያሳስበዋል። በየሳምንቱ ወደ አንድ መቶ የሚጠጉ ጥገናዎች በተረጋጋ ቅርንጫፎች ውስጥ ይካተታሉ, እና በሚቀጥለው መለቀቅ ላይ ለውጦችን ለመቀበል መስኮቱ ከተዘጋ በኋላ, ወደ አንድ ሺህ ይጠጋል (አስተዳዳሪዎች መስኮቱ እስኪዘጋ ድረስ ጥገናውን ይይዛሉ, እና ከተፈጠረ በኋላ " -rc1" የተከማቹትን በአንድ ጊዜ ያትማሉ), ይህም በጣም ብዙ እና በሊኑክስ ከርነል መሰረት ለጥገና ምርቶች ብዙ ጉልበት የሚጠይቅ ነው.
እንደ Keys ገለጻ በከርነል ውስጥ ከስህተቶች ጋር አብሮ የመሥራት ሂደት ተገቢውን ትኩረት ያልተሰጠው ሲሆን በዚህ አካባቢ ለተቀናጀ ሥራ ቢያንስ 100 ተጨማሪ አልሚዎች ይጎድለዋል. ዋናዎቹ የከርነል አዘጋጆች ስህተቶችን በየጊዜው ያስተካክላሉ፣ ነገር ግን እነዚህ ጥገናዎች በሶስተኛ ወገኖች ለሚጠቀሙት የከርነል ተለዋጮች እንደሚተላለፉ ምንም ዋስትና የለም። በሊኑክስ ከርነል ላይ የተመሰረቱ የተለያዩ ምርቶች ተጠቃሚዎች የትኞቹ ስህተቶች እንደተስተካከሉ እና የትኛው ከርነል በመሳሪያዎቻቸው ውስጥ ጥቅም ላይ እንደሚውል ለመቆጣጠር ምንም መንገድ የላቸውም። በመጨረሻም አምራቾች ለምርቶቻቸው ደህንነት ተጠያቂ ናቸው, ነገር ግን በተረጋጋ የከርነል ቅርንጫፎች ውስጥ በጣም ከፍተኛ በሆነ የህትመት ጥገናዎች, ምርጫ ገጥሟቸዋል - ሁሉንም ጥገናዎች ወደብ, በጣም አስፈላጊ የሆኑትን እየመረጡ ወደብ ያድርጉ ወይም ሁሉንም ጥገናዎች ችላ ይበሉ. .
በጣም ጥሩው መፍትሔ በጣም አስፈላጊ የሆኑትን ጥገናዎች እና ተጋላጭነቶችን ብቻ ማዛወር ነው, ነገር ግን እንደዚህ ያሉ ስህተቶችን ከአጠቃላይ ፍሰት ማግለል ዋናው ችግር ነው. ከፍተኛው የችግሮች ብዛት የ C ቋንቋን መጠቀም የሚያስከትለው ውጤት ነው ፣ ይህም ከማስታወስ እና ጠቋሚዎች ጋር ሲሰራ ከፍተኛ ጥንቃቄ ይጠይቃል። ይባስ ብሎ፣ ብዙ የተጋላጭነት መጠገኛዎች በCVE ለዪ አልተሰጡም፣ ወይም ፕላስተቱ ከታተመ ከተወሰነ ጊዜ በኋላ CVE ለዪ ተሰጥቷቸዋል። በእንደዚህ ዓይነት አከባቢ ውስጥ አምራቾች ጥቃቅን ጥገናዎችን ከአስፈላጊ የደህንነት ጉዳዮች ለመለየት በጣም ከባድ ነው. እንደ አኃዛዊ መረጃ ፣ ከ 40% በላይ ተጋላጭነቶች CVE ከመሰጠቱ በፊት የተስተካከሉ ናቸው ፣ እና በአማካኝ ጥገና በሚለቀቅበት ጊዜ እና በ CVE ምደባ መካከል ያለው መዘግየት ሦስት ወር ነው (ማለትም ፣ መጀመሪያ ላይ ማስተካከያው እንደ ተገነዘበ ይቆጠራል) መደበኛ ስህተት, ነገር ግን ከበርካታ ወራት በኋላ ብቻ ተጋላጭነቱ እንደተስተካከለ ግልጽ ይሆናል).
በውጤቱም ፣ ለተጋላጭነት ጥገናዎች የተለየ ቅርንጫፍ ከሌለ እና ስለ አንድ የተወሰነ ችግር ደህንነት ግንኙነት መረጃ ሳይቀበሉ ፣ በሊኑክስ ከርነል ላይ የተመሰረቱ ምርቶች አምራቾች ሁሉንም ጥገናዎች ከቅርብ ጊዜዎቹ የተረጋጋ ቅርንጫፎች ያለማቋረጥ እንዲያስተላልፉ ይተዋሉ። ነገር ግን ይህ ስራ ብዙ ጉልበት የሚጠይቅ እና በኩባንያዎች ውስጥ የምርቱን መደበኛ ስራ ሊያስተጓጉል የሚችል የተሃድሶ ለውጦችን በመፍራት በኩባንያዎች ውስጥ ተቃውሞ ያጋጥመዋል.
በሊነስ ቶርቫልድስ መሰረት ሁሉም ስህተቶች አስፈላጊ እንደሆኑ እና ድክመቶች ከሌሎች የስህተት ዓይነቶች ተነጥለው ለየት ያለ ቅድሚያ የሚሰጠው ምድብ መመደብ እንደሌለባቸው እናስታውስ። ይህ አስተያየት የተብራራው በደህንነት ጉዳዮች ላይ ልዩ ለማይሆነ ተራ ገንቢ በመጠገን እና በተጋላጭነት መካከል ያለው ግንኙነት ግልጽ አይደለም (ለብዙ ጥገናዎች ፣ የተለየ ኦዲት ብቻ ደህንነትን እንደሚመለከቱ ለመረዳት ያስችላል) ). እንደ ሊኑስ ገለጻ፣ በሊኑክስ ስርጭቶች ውስጥ የከርነል ፓኬጆችን የመጠበቅ ኃላፊነት ከተጣለባቸው ቡድኖች የተውጣጡ የደህንነት ስፔሻሊስቶች ከአጠቃላይ የፔቸች ዥረት ሊከሰቱ የሚችሉ ተጋላጭነቶችን በመለየት መሳተፍ አለባቸው።
ኬዝ ኩክ የከርነል ደህንነትን በተመጣጣኝ የረጅም ጊዜ ወጪ ለመጠበቅ ብቸኛው መፍትሄ ኩባንያዎች በዋናው የከርነል (የላይኛው ተፋሰስ) ውስጥ ጥገናዎችን እና ተጋላጭነቶችን ለመጠበቅ በጋራ የተቀናጀ ጥረት ወደ ማስተላለፊያ ጥገና ማጓጓዝ ላይ የተሳተፉትን መሐንዲሶች ማዛወር ነው ብሎ ያምናል ። ). አሁን ባለው መልክ፣ ብዙ አምራቾች በምርታቸው ውስጥ የቅርብ ጊዜዎቹን የከርነል ስሪቶች አይጠቀሙም እና በቤት ውስጥ ያሉትን ጥገናዎች ይመለሳሉ ፣ ማለትም። በተለያዩ ኩባንያዎች ውስጥ ያሉ መሐንዲሶች አንዳቸው የሌላውን ሥራ ያባዛሉ, ተመሳሳይ ችግር ይፈታሉ.
ለምሳሌ፣ 10 ኩባንያዎች፣ እያንዳንዳቸው አንድ መሐንዲስ ተመሳሳይ ጥገናዎችን ወደ ኋላ የሚመልሱ ከሆነ፣ እነዛን መሐንዲሶች ወደ ላይ ያሉ ስህተቶችን እንዲያስተካክሉ ቢመደቡ፣ ከዚያ አንድ ጥገናን ከማስተላለፍ ይልቅ፣ ለጋራ ጥቅም 10 የተለያዩ ሳንካዎችን ማስተካከል ወይም የታቀዱትን ለውጦች ግምገማ ውስጥ መቀላቀል ይችላሉ። እና የbuggy ኮድ በከርነል ውስጥ እንዳይካተት ይከላከሉ። ሃብቶች እንዲሁ አዲስ መሳሪያዎችን ለመፍጠር እና ኮድን ለመተንተን የሚያገለግሉ የተለመዱ የስህተት ክፍሎችን ደጋግመው ለመለየት ያስችላል።
ኪይስ ኩክ በከርነል ልማት ሂደት ውስጥ በቀጥታ አውቶሜትድ እና ግራ የሚያጋባ ሙከራን በመጠቀም ቀጣይነት ያለው የውህደት ስርዓቶችን በመጠቀም እና ጥንታዊ የእድገት አስተዳደርን በኢሜል በመተው የበለጠ በንቃት ይጠቁማል። በአሁኑ ጊዜ ዋና ዋና የፈተና ሂደቶች ከእድገት ተለይተው እና ከተለቀቁ በኋላ የሚከሰቱ በመሆናቸው ውጤታማ ሙከራዎች እንቅፋት ናቸው. ቁልፎች የስህተቶችን ብዛት ለመቀነስ በሚፈጠሩበት ጊዜ እንደ ዝገት ያሉ ከፍተኛ የደህንነት ደረጃ የሚሰጡ ቋንቋዎችን እንዲጠቀሙ ይመከራል።
ምንጭ: opennet.ru