Kees Cook, CSO ya berê ya kernel.org û serokê Tîma Ewlekariya Ubuntu, ku naha ji Google re dixebite ku Android û ChromeOS ewle bike, xemgîniya xwe derbarê pêvajoya heyî ya rastkirina xeletiyên di şaxên domdar ên kernel de nîşan da. Her hefte, bi qasî sed rastkirin di nav şaxên îstîqrar de cih digirin, û piştî girtina pencereyê ji bo pejirandina guherandinan di berdana paşîn de, ew nêzî hezarî dibe (parêzker tamîran dikin heya ku pencereyê girtî be, û piştî avakirina "-rc1" ew yên berhevkirî bi yekcarî biweşînin), ku pir zêde ye û ji bo hilberên lênêrînê yên li ser bingeha kernel Linux-ê gelek ked hewce dike.
Li gorî Keys, pêvajoya xebata bi xeletiyên di kernelê de bi baldarî nayê dayîn û kernel ji kêmasî ve 100 pêşdebirên din ji bo xebata hevrêzî di vî warî de kêm in. Pêşdebirên kernelê yên bingehîn bi rêkûpêk xeletiyan rast dikin, lê garantiyek tune ku ev rastkirin dê li guhertoyên kernelê yên ku ji hêla aliyên sêyemîn ve têne bikar anîn werin veguheztin. Bikarhênerên hilberên cihêreng ên li ser bingeha kernel Linux-ê di heman demê de rêyek tune ku kontrol bikin ka kîjan xelet têne rast kirin û kîjan kernel di cîhazên wan de têne bikar anîn. Firoşyar di dawiyê de ji ewlehiya hilberên xwe berpirsiyar in, lê digel rêjeyek pir bilind a paçkirinê di şaxên kernelê yên bi îstîqrar de, ew bi vebijarkek di navbera paşvekêşandina hemî pêçanan de, veguhestina bijartî ya herî girîng, an paşguhkirina hemî paçan re rû bi rû man.
Çareseriya çêtirîn dê koçberkirina tenê rastkirin û qelsiyên herî girîng be, lê veqetandina xeletiyên weha ji herikîna gelemperî pirsgirêka sereke ye. Piraniya pirsgirêkên ku derdikevin ji ber karanîna zimanê C-yê ne, ku dema ku bi bîranîn û nîşangiran re mijûl dibe baldariyek mezin hewce dike. Ji bo ku rewş xirabtir bibe, gelek rastkirinên qelsbûnê yên potansiyel bi nasnavên CVE re nayên peyda kirin, an jî demek piştî weşandina patchê nasnameyek wusa distînin. Di bin şert û mercên weha de, ji hilberîneran re pir dijwar e ku sererastkirinên piçûk ji pirsgirêkên ewlehiyê yên mezin veqetînin. Li gorî statîstîkan, zêdetirî 40% ji qelsiyan berî ku CVE were danîn têne rast kirin, û derengiya navînî di navbera serbestberdana patchek û peywirdarkirina CVE de sê meh e (ango, di destpêkê de, patch wekî hevpar tê dîtin. xeletî, lê tenê piştî çend mehan diyar dibe ku qelsî hatiye rast kirin).
Wekî encamek, bêyî ku şaxek veqetandî bi rastkirina qelsiyan hebe û bêyî wergirtina agahdariya di derbarê pêwendiya ewlehiyê ya pirsgirêkek taybetî de, çêkerên hilberên li ser bingeha kernel Linux têne hiştin ku bi domdarî hemî rastkirinan ji şaxên nû yên domdar veguhezînin. Lê ev kar gelek ked hewce dike û di pargîdaniyan de bi berxwedanê re rû bi rû dimîne ji ber tirsa ji guhertinên paşverû ku dikare xebata normal a hilberê têk bibe.
Bînin bîra xwe ku, li gorî Linus Torvalds, hemî xeletî girîng in û divê qelsî ji celebên din ên xeletiyan neyê veqetandin û ji kategoriyek pêşînek bilindtir veqetandî neyên veqetandin. Ev raman bi vê rastiyê ve tê rave kirin ku ji bo pêşdebirek asayî ku di mijarên ewlehiyê de ne pispor e, pêwendiya di navbera rastkirin û xetereyek potansiyel de ne diyar e (ji bo gelek rastkirinê, tenê vekolînek cûda dihêle hûn fêm bikin ku ew bi ewlehiyê ve girêdayî ne ). Li gorî Linus, ew li ser tîmên ewlehiyê yên li ser tîmên berpirsiyar e ku pakêtên kernel li ser belavkirinên Linux-ê biparêzin da ku qelsiyên potansiyel ji herikîna patchê ya gelemperî veqetînin.
Kees Cook bawer dike ku tekane çareserî ji bo ewle kirina kernelê bi lêçûnek dirêj-maqûl ew e ku pargîdanî endezyarên ku di veguheztina paçikan de berbi avahîyên kernelê yên herêmî ve mijûl dibin biguhezînin da ku bi hevkarî û hevrêzî bixebitin da ku pêçan û qelsiyên di kernelê jorîn de biparêzin. Di forma xweya heyî de, gelek hilberîner di hilberên xwe de ne guhertoya herî dawî ya kernelê bikar tînin û bi serê xwe rastkirinên paşîn bikar tînin, ango. derket holê ku endezyarên di pargîdaniyên cûda de karê hevdu dubare dikin, heman pirsgirêkê çareser dikin.
Mînakî, heke 10 pargîdanî, ku her yek ji wan endezyarek piştgirîya heman rastkirinan dike, wan endezyaran beralî bikin da ku xeletiyan li jor rast bikin, wê hingê li şûna ku yek rastkirinê derxînin, ew dikarin 10 xeletiyên cûda ji bo berjewendiya hevpar rast bikin an jî beşdarî vekolîna guhertinên pêşniyarkirî bibin. û pêşî lê bigire ku koda xeletî di nav kernelê de cih bigire. Di heman demê de çavkanî dikarin ji bo afirandina amûrên nû yên ji bo ceribandin û analîza kodê werin veqetandin, ku dê di qonaxek destpêkê de rê bide ku bixweber çînên tîpîk ên xeletiyên ku dîsa û dîsa derdikevin nas bikin.
Kees Cook di heman demê de di pêvajoya pêşkeftina bingehîn de, karanîna pergalên entegrasyonê yên domdar û dev ji rêveberiya pêşkeftina arkaîk a bi e-nameyê ve karanîna çalaktir a ceribandina otomatîk û fuzzing rasterast pêşniyar dike. Heya nuha, ceribandina bandorker ji hêla vê rastiyê ve tê asteng kirin ku pêvajoyên ceribandinê yên sereke ji pêşkeftinê têne veqetandin û piştî damezrandina berdanan çêdibin. Keys di heman demê de pêşniyar dikin ku zimanên ewletir, wek Rust, bikar bînin da ku xeletiyan kêm bikin.
Source: opennet.ru