Google ၏ Kees Cook သည် Linux kernel တွင် အမှားအယွင်းများကို လုပ်ဆောင်သည့် လုပ်ငန်းစဉ်ကို ခေတ်မီစေရန် တိုက်တွန်းခဲ့သည်။

Android နှင့် ChromeOS ကို လုံခြုံစေရန် Google အတွက် ယခု လုပ်ဆောင်နေသော Ubuntu Security Team ၏ ခေါင်းဆောင်ဖြစ်သူ Kees Cook က kernel ၏ တည်ငြိမ်သော အကိုင်းအခက်များတွင် ချို့ယွင်းချက်များကို ပြုပြင်ခြင်း၏ လက်ရှိ လုပ်ငန်းစဉ်နှင့် ပတ်သက်၍ စိုးရိမ်ကြောင်း ဖော်ပြခဲ့သည်။ အပတ်စဉ်၊ တည်ငြိမ်သောအကိုင်းအခက်များတွင် ပြုပြင်မှုတစ်ရာခန့်ပါဝင်ပြီး နောက်ထွက်ရှိမှုဆိုင်ရာပြောင်းလဲမှုများကိုလက်ခံရန်အတွက် window ကိုပိတ်ပြီးနောက်၊ ၎င်းသည် တစ်ထောင်သို့ချဉ်းကပ်လာသည် (ထိန်းသိမ်းသူများသည် window မပိတ်မချင်းပြင်ဆင်မှုများပြုလုပ်ကြပြီး “-rc1” ဖွဲ့စည်းပြီးနောက် ၎င်းတို့၊ စုဆောင်းထားသည့်အရာများကို တစ်ပြိုင်နက်ထုတ်ဝေပါ)၊ ၎င်းသည် အလွန်များပြားပြီး Linux kernel ကိုအခြေခံ၍ ပြုပြင်ထိန်းသိမ်းခြင်းထုတ်ကုန်များအတွက် လုပ်အားများစွာလိုအပ်သည်။

Keys ၏ အဆိုအရ၊ kernel တွင် အမှားအယွင်းများဖြင့် လုပ်ဆောင်ခြင်း လုပ်ငန်းစဉ်ကို အာရုံစိုက်ခြင်း မပြုဘဲ kernel သည် ဤဧရိယာတွင် ညှိနှိုင်းလုပ်ဆောင်ရန်အတွက် နောက်ထပ် developer 100 အနည်းဆုံး ချို့တဲ့နေပါသည်။ core kernel developer များသည် bug များကို ပုံမှန်အတိုင်း fix ပေးသည်၊ သို့သော် အဆိုပါ fixes များကို third-party များအသုံးပြုသော kernel အမျိုးကွဲများဆီသို့ ပို့လိမ့်မည်ဖြစ်ကြောင်း အာမခံချက်မရှိပါ။ Linux kernel ကို အခြေခံထားသော ထုတ်ကုန်အမျိုးမျိုးကို အသုံးပြုသူများသည် မည်သည့် bug များကို ပြင်ဆင်ပြီး ၎င်းတို့၏ စက်များတွင် မည်သည့် kernel ကို အသုံးပြုသည်ကို ထိန်းချုပ်ရန် နည်းလမ်းမရှိပါ။ ရောင်းချသူများသည် ၎င်းတို့၏ထုတ်ကုန်များ၏ လုံခြုံရေးအတွက် နောက်ဆုံးတွင် တာဝန်ရှိသည်၊ သို့သော် တည်ငြိမ်သော kernel အကိုင်းအခက်များတွင် အလွန်မြင့်မားသော ဖာထေးမှုနှုန်းဖြင့် ၎င်းတို့သည် ဖာထေးမှုအားလုံးကို နောက်ပြန်ပို့ခြင်း၊ အရေးအကြီးဆုံးကို ရွေးချယ်တင်ဆောင်ခြင်း သို့မဟုတ် ဖာထေးမှုအားလုံးကို လျစ်လျူရှုခြင်းအကြား ရွေးချယ်မှုတစ်ခုနှင့် ရင်ဆိုင်ခဲ့ရသည်။

အကောင်းဆုံးဖြေရှင်းချက်မှာ အရေးကြီးဆုံးသော ပြင်ဆင်မှုများနှင့် အားနည်းချက်များကိုသာ ရွှေ့ပြောင်းရန်ဖြစ်ပြီး ထိုသို့သောအမှားများကို ယေဘုယျစီးဆင်းမှုမှ ခွဲထုတ်ခြင်းသည် အဓိကပြဿနာဖြစ်သည်။ ပေါ်လာသောပြဿနာအများစုမှာ Memory နှင့် pointers များကိုကိုင်တွယ်ရာတွင် အလွန်ဂရုစိုက်ရန်လိုအပ်သော C language ကိုအသုံးပြုခြင်းကြောင့်ဖြစ်သည်။ ပိုဆိုးသည်မှာ၊ ဖြစ်နိုင်ချေရှိသော အားနည်းချက်အများအပြားကို ပြင်ဆင်ခြင်းများကို CVE ခွဲခြားသတ်မှတ်မှုများဖြင့် မပံ့ပိုးပါ၊ သို့မဟုတ် ဖာထေးမှုအား ထုတ်ဝေပြီးနောက် အချိန်အတန်ကြာတွင် ထိုသို့သော identifier ကို လက်ခံရယူပါ။ ထိုသို့သောအခြေအနေများအောက်တွင်၊ အကြီးစားလုံခြုံရေးပြဿနာများမှ အသေးစားပြင်ဆင်မှုများကို ခွဲထုတ်ရန် ထုတ်လုပ်သူများအတွက် အလွန်ခက်ခဲပါသည်။ စာရင်းဇယားများအရ CVE မသတ်မှတ်မီ အားနည်းချက်များ၏ 40% ကျော်ကို ပြင်ဆင်ပြီး patch တစ်ခုထွက်ရှိခြင်းနှင့် CVE ၏တာဝန်ပေးခြင်းကြား ပျမ်းမျှနှောင့်နှေးမှုသည် သုံးလဖြစ်သည် (ဆိုလိုသည်မှာ ပထမတွင်၊ patch ကို ဘုံတစ်ခုအဖြစ် ထင်မြင်သည် bug ဖြစ်သော်လည်း လအနည်းငယ်ကြာပြီးမှသာ အားနည်းချက်ကို ပြုပြင်ပြီးဖြစ်ကြောင်း သိသာထင်ရှားပါသည်။)

ရလဒ်အနေဖြင့်၊ အားနည်းချက်များအတွက် ပြင်ဆင်မှုများနှင့် သီးခြားပြဿနာတစ်ခု၏ လုံခြုံရေးချိတ်ဆက်မှုဆိုင်ရာ အချက်အလက်များကို မရရှိဘဲ၊ Linux kernel ပေါ်အခြေခံထားသော ထုတ်ကုန်ထုတ်လုပ်သူများသည် လတ်ဆတ်သောတည်ငြိမ်သောအကိုင်းအခက်များမှ ပြုပြင်မှုများအားလုံးကို စဉ်ဆက်မပြတ်လွှဲပြောင်းရန် ထွက်ခွာသွားပါသည်။ သို့သော် ဤလုပ်ငန်းသည် လုပ်သားအများအပြား လိုအပ်ပြီး ထုတ်ကုန်၏ ပုံမှန်လည်ပတ်မှုကို အနှောင့်အယှက်ဖြစ်စေနိုင်သော နောက်ပြန်ဆုတ်ပြောင်းလဲမှုများကို ကြောက်ရွံ့ခြင်းကြောင့် ကုမ္ပဏီများတွင် ခုခံမှုများနှင့် ကြုံတွေ့ရသည်။

Linus Torvalds ၏အဆိုအရ၊ အမှားအယွင်းများအားလုံးသည် အရေးကြီးပြီး အားနည်းချက်များကို အခြားအမှားအမျိုးအစားများမှ မခွဲခြားဘဲ သီးခြားပိုမိုမြင့်မားသော ဦးစားပေးအမျိုးအစားသို့ ခွဲဝေသတ်မှတ်ထားကြောင်း သတိရပါ။ လုံခြုံရေးပြဿနာများကို အထူးမကျွမ်းကျင်သော သာမန် developer တစ်ဦးအတွက်၊ ပြုပြင်ခြင်းနှင့် ဖြစ်နိုင်ခြေရှိသော အားနည်းချက်ကြားက ဆက်နွှယ်မှုမှာ ရှင်းရှင်းလင်းလင်းမဟုတ်ပါ (ပြင်ဆင်မှုများစွာအတွက်၊ သီးခြားစာရင်းစစ်ကသာ ၎င်းတို့သည် လုံခြုံရေးနှင့် ဆက်နွှယ်ကြောင်း နားလည်သဘောပေါက်နိုင်စေပါသည်။ ) Linus ၏ အဆိုအရ၊ ၎င်းသည် ယေဘူယျ patch စီးဆင်းမှုမှ ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များကို ခွဲထုတ်ရန်အတွက် Linux ဖြန့်ဝေမှုများတွင် kernel ပက်ကေ့ခ်ျများကို ထိန်းသိမ်းရန် တာဝန်ရှိသော အဖွဲ့များမှ လုံခြုံရေးအဖွဲ့များပေါ်တွင် မူတည်ပါသည်။

Kees Cook သည် kernel ကို ကျိုးကြောင်းဆီလျော်သော ရေရှည်ကုန်ကျစရိတ်ဖြင့် လုံခြုံအောင်ထားရန် တစ်ခုတည်းသောအဖြေမှာ ဖာထေးခြင်းတွင်ပါဝင်သော အင်ဂျင်နီယာများအား ဒေသခံ kernel တည်ဆောက်မှုများသို့ ပြောင်းရွှေ့ရန်အတွက် ကုမ္ပဏီများက ပူးပေါင်းဆောင်ရွက်ခြင်း၊ ညှိနှိုင်းလုပ်ဆောင်ရန်အတွက် ဖာထေးမှုများနှင့် အားနည်းချက်များကို ထိန်းသိမ်းရန်အတွက် အထက်ပိုင်း kernel တွင် ပူးပေါင်းလုပ်ဆောင်ရန်ဖြစ်သည်။ ၎င်း၏လက်ရှိပုံစံတွင်၊ ထုတ်လုပ်သူအများအပြားသည် ၎င်းတို့၏ထုတ်ကုန်များတွင် နောက်ဆုံးထွက် kernel ဗားရှင်းကို အသုံးမပြုဘဲ ၎င်းတို့ဘာသာပြန်ကာ backport ပြင်ဆင်မှုများ၊ ဆိုလိုသည်မှာ၊ မတူကွဲပြားသော ကုမ္ပဏီများရှိ အင်ဂျင်နီယာများသည် တစ်ဦးနှင့်တစ်ဦး အလုပ်ကို ထပ်တူလုပ်ကာ တူညီသောပြဿနာကို ဖြေရှင်းနိုင်သည် ။

ဥပမာအားဖြင့်၊ ကုမ္ပဏီ 10 ခု၊ တစ်ခုစီတွင် တူညီသောပြင်ဆင်မှုများကို ပံ့ပိုးပေးသည့် အင်ဂျင်နီယာတစ်ဦးစီသည် bug များကို ပြုပြင်ရန် ထိုအင်ဂျင်နီယာများကို ပြန်ညွှန်းပါက၊ ထို့နောက် ပြုပြင်မှုတစ်ခုအား တင်မည့်အစား အများအကျိုးအတွက် မတူညီသော bugs 10 ခုကို ပြင်ဆင်နိုင်သည် သို့မဟုတ် အဆိုပြုထားသော အပြောင်းအလဲများကို ပြန်လည်သုံးသပ်ခြင်းတွင် ပါဝင်နိုင်သည်။ buggy ကုဒ်ကို kernel တွင်ထည့်သွင်းခြင်းမှကာကွယ်ပါ။ အရင်းအမြစ်များကို စမ်းသပ်ခြင်းနှင့် ကုဒ်ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် ကိရိယာအသစ်များဖန်တီးခြင်းအတွက် အရင်းအမြစ်များကို အသုံးချနိုင်သည်၊ ၎င်းသည် အစောပိုင်းအဆင့်တွင် ထပ်ခါထပ်ခါပေါ်လာသော ပုံမှန်အမှားအယွင်းများကို အလိုအလျောက်ခွဲခြားသတ်မှတ်နိုင်စေမည်ဖြစ်သည်။

Kees Cook သည် core ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်တွင် တိုက်ရိုက်အလိုအလျောက် နှင့် fuzzing စမ်းသပ်ခြင်းတို့ကို ပိုမိုတက်ကြွစွာအသုံးပြုခြင်း၊ စဉ်ဆက်မပြတ်ပေါင်းစပ်မှုစနစ်များကိုအသုံးပြုခြင်းနှင့် အီးမေးလ်မှတစ်ဆင့် ရှေးဟောင်းဖွံ့ဖြိုးတိုးတက်မှုစီမံခန့်ခွဲမှုကို စွန့်လွှတ်ခြင်းတို့ကို အကြံပြုထားသည်။ လက်ရှိတွင်၊ ထိရောက်သောစမ်းသပ်မှုမှာ အဓိကစမ်းသပ်ခြင်းလုပ်ငန်းစဉ်များကို ဖွံ့ဖြိုးတိုးတက်မှုနှင့် ခွဲထုတ်ပြီး ထုတ်ဝေမှုဖွဲ့စည်းပြီးနောက် ဖြစ်ပေါ်သည့်အချက်ကြောင့် ရပ်တန့်နေပါသည်။ အမှားအယွင်းများကို လျှော့ချရန် ကီးများသည် Rust ကဲ့သို့သော ပိုမိုလုံခြုံသော ဘာသာစကားများကို အသုံးပြုရန် အကြံပြုထားသည်။

source: opennet.ru