Si Kees Cook, kanhi chief system administrator sa kernel.org ug lider sa Ubuntu Security Team nga karon nagtrabaho sa Google aron ma-secure ang Android ug ChromeOS, nagpahayag ug kabalaka bahin sa kasamtangang proseso sa pag-ayo sa mga bug sa stable nga mga sanga sa kernel. Kada semana, mga usa ka gatos nga mga pag-ayo ang gilakip sa mga lig-on nga mga sanga, ug pagkahuman sirado ang bintana alang sa pagdawat sa mga pagbag-o sa sunod nga pagpagawas, hapit usa ka libo (ang mga tigmentinar naghupot sa mga pag-ayo hangtod nga sirado ang bintana, ug pagkahuman sa pagporma sa " -rc1" ilang gipatik ang mga natipon sa usa ka higayon), nga daghan kaayo ug nanginahanglan daghang trabaho alang sa mga produkto sa pagmentinar base sa Linux kernel.
Sumala sa Keys, ang proseso sa pagtrabaho sa mga sayup sa kernel wala gihatagan ug igong pagtagad ug ang kernel kulang sa labing menos 100 ka dugang nga mga developers alang sa koordinado nga trabaho niini nga dapit. Ang nag-unang mga developer sa kernel kanunay nga nag-ayo sa mga bug, apan walaβy garantiya nga kini nga mga pag-ayo madala sa mga variant sa kernel nga gigamit sa mga ikatulo nga partido. Ang mga tiggamit sa lainlaing mga produkto nga gibase sa Linux kernel wala usab paagi aron makontrol kung unsang mga bug ang giayo ug kung unsang kernel ang gigamit sa ilang mga aparato. Sa katapusan, ang mga tiggama mao ang responsable alang sa seguridad sa ilang mga produkto, apan sa labi ka taas nga intensity sa pagpatik sa mga pag-ayo sa stable nga mga sanga sa kernel, nag-atubang sila sa usa ka kapilian - i-port ang tanan nga mga pag-ayo, pilion nga i-port ang labing hinungdanon, o ibaliwala ang tanan nga mga pag-ayo .
Ang labing maayo nga solusyon mao ang pagbalhin sa labing hinungdanon nga mga pag-ayo ug mga kahuyangan, apan ang pagbulag sa ingon nga mga sayup gikan sa kinatibuk-ang dagan mao ang panguna nga problema. Ang kinadak-ang gidaghanon sa mga problema nga motungha kay resulta sa paggamit sa C nga pinulongan, nga nagkinahanglan ug dakong pag-amping kon nagtrabaho uban ang memorya ug mga pointer. Ang mas grabe pa, daghang mga potensyal nga vulnerability nga mga patch wala gihatag sa usa ka CVE identifier, o gi-assign nga usa ka CVE identifier pipila ka oras pagkahuman na-publish ang patch. Sa ingon nga palibot, lisud kaayo alang sa mga tiggama ang pagbulag sa mga menor de edad nga pag-ayo gikan sa hinungdanon nga mga isyu sa seguridad. Sumala sa mga estadistika, labaw pa sa 40% sa mga kahuyangan ang naayo sa wala pa ma-assign ang usa ka CVE, ug sa kasagaran ang paglangan tali sa pagpagawas sa usa ka pag-ayo ug ang pag-assign sa usa ka CVE mao ang tulo ka bulan (ie, sa una, ang pag-ayo giisip nga usa ka regular nga bug, apan pagkahuman sa pila ka bulan klaro nga naayo na ang pagkahuyang).
Ingon usa ka sangputanan, kung walaβy lahi nga sanga nga adunay mga pag-ayo sa mga kahuyangan ug wala makadawat kasayuran bahin sa koneksyon sa seguridad sa usa ka partikular nga problema, ang mga tiggama sa mga produkto nga gibase sa kernel sa Linux nahabilin aron padayon nga ibalhin ang tanan nga mga pag-ayo gikan sa labing bag-o nga lig-on nga mga sanga. Apan kini nga trabaho nanginahanglan daghang trabaho ug nag-atubang sa pagsukol sa mga kompanya tungod sa kahadlok sa pagtumaw sa mga pagbag-o nga pagbag-o nga mahimong makabalda sa normal nga operasyon sa produkto.
Atong hinumdoman nga sumala ni Linus Torvalds, ang tanan nga mga kasaypanan importante ug ang mga kahuyangan kinahanglan dili ibulag gikan sa ubang mga matang sa mga sayop ug igahin sa usa ka bulag nga mas taas nga prayoridad nga kategorya. Kini nga opinyon gipatin-aw sa kamatuoran nga alang sa usa ka ordinaryo nga developer nga dili espesyalista sa mga isyu sa seguridad, ang koneksyon tali sa usa ka pag-ayo ug usa ka potensyal nga kahuyang dili klaro (alang sa daghang mga pag-ayo, usa lamang ka bulag nga pag-audit ang nagpaposible nga masabtan nga sila adunay kalabotan sa seguridad. ). Sumala sa Linus, ang mga espesyalista sa seguridad gikan sa mga team nga responsable sa pagmintinar sa mga pakete sa kernel sa mga distribusyon sa Linux kinahanglan nga maapil sa pag-ila sa mga potensyal nga kahuyangan gikan sa kinatibuk-ang sapa sa mga patch.
Nagtuo si Kees Cook nga ang bugtong solusyon sa pagpadayon sa seguridad sa kernel sa usa ka makatarunganon nga dugay nga gasto mao ang pagbalhin sa mga kompanya sa mga inhenyero nga nahilambigit sa pag-ayo sa mga port sa lokal nga mga kernel nga gitukod sa usa ka hiniusa, hiniusang paningkamot aron mapadayon ang mga pag-ayo ug mga kahuyang sa panguna nga kernel (upstream ). Sa kasamtangan nga porma niini, daghang mga tiggama ang naggamit dili sa pinakabag-o nga mga bersyon sa kernel sa ilang mga produkto ug nag-backport sa mga pag-ayo sa sulod, i.e. Mogawas nga ang mga inhenyero sa lainlaing mga kompanya nagdoble sa trabaho sa usag usa, nagsulbad sa parehas nga problema.
Pananglitan, kung ang 10 ka kompanya, ang matag usa adunay usa ka inhenyero nga nag-backport sa parehas nga mga pag-ayo, gi-reassign ang mga inhenyero sa pag-ayo sa mga bug sa upstream, unya imbis nga mag-port sa usa ka pag-ayo, mahimo nila ayohon ang 10 nga lainlaing mga bug alang sa sagad nga kaayohan o moapil sa pagrepaso sa gisugyot nga mga pagbag-o. ug pugngan ang buggy code nga maapil sa kernel. Ang mga kahinguhaan mahimo usab nga igahin sa paghimo og bag-ong mga himan alang sa pagsulay ug pag-analisar sa code nga magtugot sa sayo nga pag-ila sa kasagarang mga klase sa mga sayup nga nagbalikbalik.
Gisugyot usab ni Kees Cook ang mas aktibo nga paggamit sa automated ug fuzzing nga pagsulay direkta sa proseso sa pagpalambo sa kernel, gamit ang padayon nga mga sistema sa pag-integrate ug pag-abandonar sa archaic development management pinaagi sa email. Sa pagkakaron, ang epektibo nga pagsulay gibabagan sa kamatuoran nga ang mga nag-unang proseso sa pagsulay nahimulag gikan sa pag-uswag ug nahitabo pagkahuman naporma ang mga pagpagawas. Girekomenda usab sa mga yawe ang paggamit sa mga sinultian nga naghatag usa ka mas taas nga lebel sa seguridad, sama sa Rust, kung nag-develop aron makunhuran ang gidaghanon sa mga sayup.
Source: opennet.ru