Kees Cook، kernel.org جو اڳوڻو چيف سسٽم ايڊمنسٽريٽر ۽ Ubuntu سيڪيورٽي ٽيم جو اڳواڻ جيڪو هاڻي گوگل تي ڪم ڪري ٿو Android ۽ ChromeOS کي محفوظ ڪرڻ لاءِ، ڪرنل جي مستحڪم شاخن ۾ بگ کي درست ڪرڻ جي موجوده عمل بابت ڳڻتي جو اظهار ڪيو. هر هفتي، لڳ ڀڳ سؤ فيڪسز کي مستحڪم شاخن ۾ شامل ڪيو ويندو آهي، ۽ ايندڙ رليز ۾ تبديلين کي قبول ڪرڻ لاءِ ونڊو بند ٿيڻ کان پوءِ، اهو هڪ هزار جي ويجهو پهچي ويندو آهي (منظم ڪندڙ ونڊو بند ٿيڻ تائين فيڪس کي برقرار رکندا آهن، ۽ ٺهڻ کان پوءِ ” -rc1” اهي جمع ٿيل هڪ ئي وقت شايع ڪندا آهن)، جيڪو تمام گهڻو آهي ۽ لينڪس ڪنيل جي بنياد تي سار سنڀال جي شين لاءِ تمام گهڻي محنت جي ضرورت آهي.
ڪيز جي مطابق، ڪرنل ۾ غلطين سان ڪم ڪرڻ جي عمل کي مناسب ڌيان نه ڏنو ويو آهي ۽ ڪرنل ۾ گهٽ ۾ گهٽ 100 اضافي ڊولپرز جي کوٽ آهي هن علائقي ۾ هموار ڪم لاء. مکيه ڪنيل ڊولپرز باقاعدي بگ کي درست ڪن ٿا، پر ان جي ڪا به ضمانت نه آهي ته اهي اصلاحون ٽئين پارٽين پاران استعمال ڪيل ڪنييل مختلف قسمن تي ڪيون وينديون. لينڪس ڪنيل جي بنياد تي مختلف پراڊڪٽس جي استعمال ڪندڙن کي پڻ ڪنٽرول ڪرڻ جو ڪو طريقو ناهي ته ڪھڙا بگ مقرر ڪيا ويا آھن ۽ ڪھڙو ڪنيال انھن جي ڊوائيسز ۾ استعمال ڪيو ويو آھي. آخرڪار، ٺاهيندڙن کي انهن جي شين جي حفاظت لاء ذميوار آهن، پر مستحڪم ڪنييل شاخن ۾ اشاعت جي اشاعت جي تمام گهڻي شدت سان، انهن کي هڪ انتخاب سان منهن ڏيڻو پيو - پورٽ سڀ فيڪس، چونڊيو بندرگاهه سڀ کان اهم، يا سڀني اصلاحن کي نظرانداز ڪيو. .
بھترين حل اھو ھوندو ته لڏپلاڻ ڪري رڳو سڀ کان اھم سڌارا ۽ ڪمزوريون، پر اھڙين نقصن کي عام وهڪري کان الڳ ڪرڻ بنيادي مسئلو آھي. مسئلن جو سڀ کان وڏو تعداد جيڪو پاپ اپ ٿئي ٿو سي ٻولي استعمال ڪرڻ جو نتيجو آهي، جنهن کي ميموري ۽ پوائنٽرز سان ڪم ڪرڻ وقت وڏي احتياط جي ضرورت آهي. معاملن کي وڌيڪ خراب ڪرڻ لاءِ، ڪيترن ئي امڪاني ڪمزورين جي پيچ کي CVE سڃاڻپ ڪندڙ سان مهيا نه ڪيو ويو آهي، يا پيچ شايع ٿيڻ کان ڪجهه وقت پوءِ هڪ CVE سڃاڻپ ڪندڙ مقرر ڪيو ويو آهي. اهڙي ماحول ۾، ٺاهيندڙن لاءِ اهو تمام ڏکيو آهي ته اھم حفاظتي مسئلن کان معمولي اصلاحن کي الڳ ڪرڻ. انگن اکرن موجب، 40 سيڪڙو کان وڌيڪ ڪمزورين کي CVE جي تفويض ٿيڻ کان اڳ مقرر ڪيو ويو آهي، ۽ سراسري طور تي هڪ فيڪس جي جاري ٿيڻ ۽ هڪ CVE جي تفويض جي وچ ۾ دير ٽن مهينن جي آهي (يعني، پهرين طور تي درست سمجهيو ويندو آهي. هڪ باقاعده بگ آهي، پر صرف ڪيترن ئي مهينن کان پوء اهو واضح ٿئي ٿو ته نقصان کي مقرر ڪيو ويو آهي).
نتيجي طور، هڪ الڳ برانچ کان سواءِ نقصانن جي اصلاح سان ۽ ڪنهن خاص مسئلي جي سيڪيورٽي ڪنيڪشن بابت معلومات حاصل ڪرڻ کان سواءِ، لينڪس ڪنيل جي بنياد تي پراڊڪٽس ٺاهيندڙن کي رهجي ويو آهي ته مسلسل جديد مستحڪم برانچن مان سڀني اصلاحن کي منتقل ڪرڻ لاءِ. پر اهو ڪم تمام گهڻي محنت جي ضرورت آهي ۽ رجعت پسند تبديلين جي ظاهر ٿيڻ جي خوف جي ڪري ڪمپنين ۾ مزاحمت کي منهن ڏيڻو پوي ٿو جيڪا پيداوار جي عام آپريشن کي خراب ڪري سگهي ٿي.
اچو ته ياد رکون ته Linus Torvalds جي مطابق، سڀئي غلطيون اهم آهن ۽ ڪمزورين کي ٻين قسمن جي غلطين کان الڳ نه ڪيو وڃي ۽ هڪ الڳ اعلي ترجيح واري درجي ۾ مختص ڪيو وڃي. اها راء هن حقيقت جي وضاحت ڪئي وئي آهي ته هڪ عام ڊولپر لاء جيڪو سيڪيورٽي مسئلن ۾ ماهر نه آهي، هڪ حل ۽ هڪ امڪاني نقصان جي وچ ۾ لاڳاپا واضح ناهي (ڪيترن ئي اصلاحن لاء، صرف هڪ الڳ آڊٽ اهو سمجهڻ ممڪن بڻائي ٿو ته اهي سيڪيورٽي بابت آهن. ). لينس جي مطابق، لينڪس جي تقسيم ۾ ڪنيل پيڪيجز کي برقرار رکڻ لاء ذميوار ٽيمن مان سيڪيورٽي ماهرن کي پيچ جي عام وهڪرو مان امڪاني نقصان جي نشاندهي ڪرڻ ۾ شامل ٿيڻ گهرجي.
Kees Cook يقين رکي ٿو ته مناسب ڊگھي مدي واري قيمت تي ڪرنل سيڪيورٽي کي برقرار رکڻ جو واحد حل ڪمپنين لاءِ آهي ته هو پورٽنگ فيڪس ۾ ملوث انجنيئرن کي مقامي ڪنيل بلڊز ۾ منتقل ڪن هڪ گڏيل، گڏيل ڪوششن کي برقرار رکڻ جي لاءِ فڪسس ۽ ڪمزورين کي برقرار رکڻ لاءِ مکيه ڪنيل (اپ اسٽريم) ). ان جي موجوده شڪل ۾، ڪيترائي ٺاهيندڙن کي استعمال نه ڪندا آھن جديد ڪرنل ورزن کي پنھنجي پروڊڪٽس ۾ ۽ بيڪپورٽ فيڪس کي گھر ۾، يعني. اهو ظاهر ٿئي ٿو ته مختلف ڪمپنين ۾ انجنيئر هڪ ٻئي جي ڪم کي نقل ڪن ٿا، ساڳئي مسئلي کي حل ڪن ٿا.
مثال طور، جيڪڏهن 10 ڪمپنيون، جن مان هر هڪ انجنيئر ساڳيا فيڪس کي واپس ڪري رهيو آهي، انهن انجنيئرن کي اپ اسٽريم ۾ بگ فڪس ڪرڻ لاءِ ٻيهر تفويض ڪيو، ته پوءِ هڪ فيڪس کي بيڪپور ڪرڻ بدران، اهي 10 مختلف بگ کي درست ڪري سگهن ٿيون عام فائدي لاءِ يا تجويز ڪيل نظرثاني ۾ شامل ٿي سگهن ٿيون. تبديل ڪريو ۽ بگي ڪوڊ کي ڪنيل ۾ شامل ٿيڻ کان روڪيو. وسيلا پڻ وقف ڪري سگھجن ٿا نوان اوزار ٺاهڻ لاءِ ٽيسٽ ۽ تجزيو ڪرڻ لاءِ ڪوڊ جيڪي غلطين جي عام طبقن جي جلد سڃاڻڻ جي اجازت ڏين جيڪي بار بار پيدا ٿين ٿيون.
Kees Cook پڻ مشورو ڏئي ٿو وڌيڪ فعال طور تي خودڪار ۽ فزنگ ٽيسٽ استعمال ڪندي سڌو سنئون ڪرنل ڊولپمينٽ پروسيس ۾، مسلسل انٽيگريشن سسٽم استعمال ڪندي ۽ اي ميل ذريعي آرڪيڪ ڊولپمينٽ مئنيجمينٽ کي ڇڏي ڏيڻ. في الحال، اثرائتي جاچ ان حقيقت جي ڪري رڪاوٽ بڻيل آهي ته مکيه جاچ واري عمل ترقي کان الڳ ٿي ويا آهن ۽ رليز ٺهڻ کان پوءِ ٿينديون آهن. ڪيز پڻ انهن ٻولين کي استعمال ڪرڻ جي صلاح ڏني آهي جيڪي اعلي سطحي سيڪيورٽي مهيا ڪن ٿيون، جهڙوڪ Rust، جڏهن غلطين جي تعداد کي گهٽائڻ لاء ترقي ڪندي.
جو ذريعو: opennet.ru