Perusahaan asuransi GEICO telah menerbitkan rilis awal TuxTape, sebuah perangkat yang memungkinkan Anda menyebarkan infrastruktur Anda sendiri untuk membuat, merakit, dan mengirimkan patch langsung untuk kernel Linux. Patch langsung memungkinkan Anda menerapkan perbaikan pada kernel Linux dengan cepat, tanpa harus me-reboot atau menghentikan sistem. Kode proyek ditulis dalam Rust dan didistribusikan di bawah lisensi Apache 2.0.
Patch langsung dengan perbaikan kerentanan disediakan untuk distribusinya oleh perusahaan seperti Red Hat, Oracle, Canonical dan SUSE, tetapi hanya alat tingkat rendah untuk bekerja dengan patch yang terbuka, dan patch itu sendiri dibuat secara tertutup. Distribusi Gentoo dan Debian mencoba mengembangkan proyek terbuka elivepatch dan linux-livepatching, tetapi yang pertama telah ditinggalkan selama 6 tahun, dan yang kedua terhenti pada tahap pembuatan prototipe pengujian.
TuxTape bertujuan untuk menyediakan sistemnya sendiri untuk membuat dan mengirimkan patch langsung yang independen dari vendor pihak ketiga dan dapat beradaptasi dengan kernel Linux apa pun, bukan hanya paket kernel khusus distribusi. TuxTape dapat menghasilkan patch langsung yang kompatibel dengan perangkat kpatch yang dikembangkan oleh Red Hat (alat serupa lainnya selain kpatch termasuk kGraft dari SUSE, Ksplice dari Oracle, dan livepatch universal). Patch dibentuk sebagai modul kernel yang dapat dimuat yang menggantikan fungsi dalam kernel, menggunakan subsistem ftrace untuk mengarahkan ulang ke fungsi baru yang disertakan dalam modul.
TuxTape dapat melacak informasi tentang perbaikan kerentanan kernel Linux yang dipublikasikan ke milis linux-cve-announce dan di repositori Git, memberi peringkat kerentanan berdasarkan tingkat keparahan, menentukan penerapannya pada kernel Linux yang didukung, dan menghasilkan patch langsung berdasarkan patch reguler ke cabang kernel LTS. Penerapan patch sumber dinilai dengan membuat profil kernel build. Patch dengan kerentanan yang tidak memengaruhi kernel target diabaikan.
TuxTape mencakup sistem untuk melacak kerentanan kernel baru, pembangun basis data patch dan kerentanan, server untuk menyimpan metadata, sistem pengiriman build kernel, pembangun kernel, generator patch, arsip patch, klien untuk menerima patch untuk host akhir, dan antarmuka interaktif untuk mengelola pembuatan patch aktif.
Pengembangan saat ini berada pada tahap prototipe eksperimental. Untuk pengujian awal, berikut ini disarankan: tuxtape-cve-parser untuk mengurai informasi tentang kerentanan dan membangun basis data dengan patch; tuxtape-server dengan implementasi antarmuka gRPC untuk layanan pembangkitan patch; tuxtape-kernel-builder untuk membangun kernel dalam konfigurasi tertentu dan menghasilkan profil build; tuxtape-dashboard adalah antarmuka konsol untuk meninjau dan membuat patch langsung berdasarkan patch sumber yang diterima dari tuxtape-server.
Sumber: opennet.ru
