Léirigh Kees Cook, iar-phríomh-riarthóir córais kernel.org agus ceannaire Fhoireann Slándála Ubuntu atá ag obair anois ag Google chun Android agus ChromeOS a dhaingniú, imní faoin bpróiseas reatha chun fabhtanna a shocrú i gcraobhacha cobhsaí na heithne. Gach seachtain, tá thart ar céad socraithe san áireamh sna brainsí cobhsaí, agus tar éis an fhuinneog chun athruithe a ghlacadh sa chéad scaoileadh eile a dhúnadh, druideann sé míle (sealbhaíonn na cothaitheoirí na socruithe go dtí go ndúnfar an fhuinneog, agus tar éis foirmiú " -rc1” foilsíonn siad na cinn carntha ag an am céanna), a bhfuil an iomarca agus a éilíonn go leor saothair le haghaidh táirgí cothabhála bunaithe ar an eithne Linux.
De réir Keys, ní thugtar aird chuí ar an bpróiseas oibre le hearráidí san eithne agus níl ar a laghad 100 forbróir breise ar an eithne le haghaidh obair chomhordaithe sa réimse seo. Déanann na príomhfhorbróirí eithne fabhtanna a shocrú go rialta, ach níl aon ráthaíocht ann go dtabharfar na réitigh seo anonn chuig na leaganacha eithne a úsáideann tríú páirtithe. Níl aon bhealach ag úsáideoirí táirgí éagsúla atá bunaithe ar an eithne Linux freisin chun rialú a dhéanamh ar na fabhtanna atá socraithe agus cén eithne a úsáidtear ina gcuid feistí. I ndeireadh na dála, tá monaróirí freagrach as slándáil a gcuid táirgí, ach le déine an-ard na socruithe foilsitheoireachta i mbrainsí eithne cobhsaí, bhí rogha acu - port na socruithe go léir, port go roghnach na cinn is tábhachtaí, nó déan neamhaird de na socruithe go léir. .
Is é an réiteach is fearr ná gan ach na socruithe agus na leochaileachtaí is tábhachtaí a aistriú, ach is í an phríomhfhadhb earráidí den sórt sin a leithlisiú ón sreabhadh ginearálta. Tá an líon is mó fadhbanna a thagann aníos mar thoradh ar úsáid na teanga C, a éilíonn cúram mór agus tú ag obair le cuimhne agus leideanna. Chun cúrsaí a dhéanamh níos measa, ní chuirtear aitheantóir CVE ar fáil do go leor paistí leochaileachta féideartha, nó sanntar aitheantóir CVE dóibh tamall tar éis don paiste a bheith foilsithe. I dtimpeallacht den sórt sin, tá sé an-deacair do mhonaróirí mionshocruithe a scaradh ó shaincheisteanna tábhachtacha slándála. De réir staitisticí, socraítear níos mó ná 40% de na leochaileachtaí sula sanntar CVE, agus ar an meán is é an mhoill idir scaoileadh socraithe agus sannadh CVE ná trí mhí (i.e., ar dtús breathnaítear ar an socrú mar fabht rialta, ach go dtí tar éis roinnt míonna bíonn sé soiléir go bhfuil an leochaileacht socraithe).
Mar thoradh air sin, gan brainse ar leith le réitigh le haghaidh leochaileachtaí agus gan faisnéis a fháil faoi nasc slándála fadhb ar leith, fágtar monaróirí táirgí atá bunaithe ar an eithne Linux chun gach réiteach a aistriú go leanúnach ó na brainsí cobhsaí is déanaí. Ach éilíonn an obair seo go leor saothair agus bíonn frithsheasmhacht in aghaidh i gcuideachtaí mar gheall ar eagla go dtiocfaidh athruithe cúlchéimnitheacha chun cinn a d'fhéadfadh cur isteach ar ghnáthoibriú an táirge.
Lig dúinn a mheabhrú, de réir Linus Torvalds, go bhfuil gach earráid tábhachtach agus níor cheart leochaileachtaí a scaradh ó chineálacha eile earráidí agus a leithdháileadh ar chatagóir tosaíochta níos airde ar leith. Mínítear an tuairim seo ag an bhfíric nach bhfuil an nasc idir deisiú agus leochaileacht ionchasach soiléir do ghnáthfhorbróir nach ndéanann speisialtóireacht ar shaincheisteanna slándála (i gcás go leor socruithe, ní féidir a thuiscint ach le hiniúchadh ar leith go mbaineann siad le slándáil. ). De réir Linus, ba cheart go mbeadh baint ag speisialtóirí slándála ó na foirne atá freagrach as pacáistí eithne a chothabháil i dáiltí Linux chun leochaileachtaí féideartha a aithint ón sruth ginearálta paistí.
Creideann Kees Cook gurb é an t-aon réiteach chun slándáil eithne a chothabháil ar chostas réasúnta fadtéarmach ná go n-aistríonn cuideachtaí na hinnealtóirí a bhaineann le réitigh a aistriú chuig foirgnimh eithne áitiúla isteach in iarracht chomhpháirteach, chomhordaithe chun socruithe agus leochaileachtaí a choinneáil sa phríomh-eithne (in aghaidh an tsrutha. ). San fhoirm atá ann faoi láthair, ní úsáideann go leor déantúsóirí na leaganacha eithne is déanaí ina gcuid táirgí agus cuireann siad na réitigh intí ar ais, i.e. Tarlaíonn sé go ndéanann innealtóirí i gcomhlachtaí éagsúla obair a chéile a dhúbailt, ag réiteach na faidhbe céanna.
Mar shampla, dá ndéanfaí na hinnealtóirí sin a athshannadh do 10 gcuideachta, gach ceann acu le hinnealtóir amháin ag déanamh na gceartúchán céanna, chun fabhtanna a shocrú suas sa sruth, ansin in ionad deisiú amháin a thabhairt ar ais, d’fhéadfaidís 10 gcinn de fhabhtanna éagsúla a shocrú ar mhaithe le leas coiteann nó páirt a ghlacadh san athbhreithniú ar na bearta atá beartaithe. athruithe agus cosc a chur ar chód bugaí a bheith san áireamh san eithne. D’fhéadfaí acmhainní a chaitheamh freisin ar uirlisí nua a chruthú chun cód a thástáil agus a anailísiú a cheadódh aicmí coitianta earráidí a thagann chun solais arís agus arís eile a bhrath go luath.
Molann Kees Cook freisin úsáid níos gníomhaí a bhaint as tástáil uathoibrithe agus doiléir go díreach sa phróiseas forbartha eithne, ag baint úsáide as córais chomhtháthaithe leanúnacha agus ag tréigean bainistíocht forbartha ársa trí ríomhphost. Faoi láthair, cuirtear bac ar thástáil éifeachtach toisc go bhfuil na príomhphróisis tástála scartha ó fhorbairt agus go dtarlaíonn siad tar éis na heisiúintí a fhoirmiú. Mhol Eochracha freisin úsáid a bhaint as teangacha a sholáthraíonn leibhéal níos airde slándála, mar shampla Rust, agus iad ag forbairt chun líon na n-earráidí a laghdú.
Foinse: oscailtenet.ru