شرکت بیمه GEICO نسخه اولیه TuxTape را منتشر کرده است، یک جعبه ابزار که به شما امکان می دهد زیرساخت خود را برای ایجاد، مونتاژ و ارائه وصله های زنده برای هسته لینوکس مستقر کنید. وصلههای زنده به شما این امکان را میدهند که بدون راهاندازی مجدد یا متوقف کردن سیستم، اصلاحات را به سرعت بر روی هسته لینوکس اعمال کنید. کد پروژه به زبان Rust نوشته شده و تحت مجوز آپاچی 2.0 توزیع شده است.
وصلههای زنده با رفع آسیبپذیری توسط شرکتهایی مانند Red Hat، Oracle، Canonical و SUSE برای توزیع آنها ارائه میشوند، اما فقط ابزارهای سطح پایین برای کار با وصلهها باز هستند و خود وصلهها پشت درهای بسته ایجاد میشوند. توزیعهای جنتو و دبیان تلاش کردند پروژههای باز elivepatch و linux-livepatching را توسعه دهند، اما اولین مورد به مدت 6 سال رها شده است و دومین مورد در مرحله ایجاد یک نمونه آزمایشی متوقف شده است.
هدف TuxTape ارائه سیستم خود برای ایجاد و ارائه وصلههای زنده مستقل از فروشندگان شخص ثالث و سازگار با هر هسته لینوکس است، نه فقط بستههای هسته ویژه توزیع. TuxTape میتواند وصلههای زنده سازگار با کیت ابزار kpatch توسعهیافته توسط Red Hat را تولید کند (ابزارهای مشابه دیگر علاوه بر kpatch شامل kGraft SUSE، Ksplice Oracle و لایو پچ جهانی است). وصله ها به عنوان ماژول های کرنل قابل بارگیری شکل می گیرند که جایگزین توابع در هسته می شوند و از زیر سیستم ftrace برای هدایت به توابع جدید موجود در ماژول استفاده می کنند.
TuxTape میتواند اطلاعات مربوط به رفع آسیبپذیری هسته لینوکس منتشر شده در لیست پستی linux-cve-announce و در مخزن Git را ردیابی کند، آسیبپذیریها را بر اساس شدت رتبهبندی کند، قابلیت کاربرد برای هستههای لینوکس پشتیبانیشده را تعیین کند، و وصلههای زنده را بر اساس وصلههای معمولی برای شاخههای هسته LTS ایجاد کند. کاربرد وصلههای منبع با ساختهای هسته پروفایل ارزیابی میشود. وصلههای دارای آسیبپذیری که بر هسته هدف تأثیر نمیگذارند نادیده گرفته میشوند.
TuxTape شامل سیستمی برای ردیابی آسیبپذیریهای جدید هسته، سازنده پایگاه داده وصله و آسیبپذیری، سروری برای ذخیرهسازی ابرداده، سیستم ارسال هسته، سازنده هسته، تولیدکننده وصله، بایگانی وصله، کلاینت برای دریافت وصلهها برای میزبانهای پایانی، و یک رابط کاربری تعاملی تولید manpat است.
توسعه در مرحله نمونه اولیه آزمایشی است. برای آزمایش اولیه، موارد زیر پیشنهاد می شود: tuxtape-cve-parser برای تجزیه اطلاعات در مورد آسیب پذیری ها و ساخت یک پایگاه داده با وصله ها. Taxtape-Server با پیاده سازی رابط gRPC برای خدمات تولید پچ. Tuxtape-kernel-builder برای ساخت هسته در یک پیکربندی معین و ایجاد یک نمایه ساخت. tuxtape-dashboard یک رابط کنسول برای بررسی و ایجاد وصله های زنده بر اساس وصله های منبع دریافت شده از سرور tuxtape است.
منبع: opennet.ru
