Công ty bảo hiểm GEICO đã phát hành bản phát hành sơ bộ của TuxTape, một bộ công cụ cho phép bạn triển khai cơ sở hạ tầng của riêng mình để tạo, lắp ráp và cung cấp các bản vá lỗi trực tiếp cho hạt nhân Linux. Các bản vá trực tiếp cho phép bạn áp dụng bản sửa lỗi cho hạt nhân Linux ngay lập tức mà không cần khởi động lại hoặc dừng hệ thống. Mã dự án được viết bằng Rust và được phân phối theo giấy phép Apache 2.0.
Các bản vá trực tiếp có bản sửa lỗi lỗ hổng được cung cấp cho các bản phân phối của họ bởi các công ty như Red Hat, Oracle, Canonical và SUSE, nhưng chỉ có các công cụ cấp thấp để làm việc với các bản vá là mở và bản thân các bản vá được tạo ra sau cánh cửa đóng kín. Các bản phân phối Gentoo và Debian đã cố gắng phát triển các dự án mở elivepatch và linux-livepatching, nhưng dự án đầu tiên đã bị bỏ dở trong 6 năm, và dự án thứ hai đã bị đình trệ ở giai đoạn tạo nguyên mẫu thử nghiệm.
TuxTape hướng đến mục tiêu cung cấp hệ thống riêng để tạo và cung cấp các bản vá lỗi trực tiếp, độc lập với các nhà cung cấp bên thứ ba và có thể thích ứng với bất kỳ hạt nhân Linux nào, không chỉ các gói hạt nhân dành riêng cho bản phân phối. TuxTape có thể tạo các bản vá trực tiếp tương thích với bộ công cụ kpatch do Red Hat phát triển (các công cụ tương tự khác ngoài kpatch bao gồm kGraft từ SUSE, Ksplice từ Oracle và universal livepatch). Các bản vá được hình thành dưới dạng các mô-đun hạt nhân có thể tải được để thay thế các chức năng trong hạt nhân, sử dụng hệ thống con ftrace để chuyển hướng đến các chức năng mới có trong mô-đun.
TuxTape có thể theo dõi thông tin về các bản sửa lỗi lỗ hổng bảo mật của hạt nhân Linux được công bố trên danh sách gửi thư linux-cve-announce và trong kho lưu trữ Git, xếp hạng các lỗ hổng theo mức độ nghiêm trọng, xác định khả năng áp dụng cho các hạt nhân Linux được hỗ trợ và tạo các bản vá trực tiếp dựa trên các bản vá thông thường cho các nhánh hạt nhân LTS. Tính khả dụng của các bản vá lỗi nguồn được đánh giá bằng cách lập hồ sơ bản dựng kernel. Các bản vá có lỗ hổng không ảnh hưởng đến hạt nhân mục tiêu sẽ bị bỏ qua.
TuxTape bao gồm một hệ thống theo dõi các lỗ hổng bảo mật mới của kernel, một trình xây dựng cơ sở dữ liệu bản vá và lỗ hổng, một máy chủ để lưu trữ siêu dữ liệu, một hệ thống phân phối bản dựng kernel, một trình xây dựng kernel, một trình tạo bản vá, một kho lưu trữ bản vá, một máy khách để nhận bản vá cho các máy chủ cuối và một giao diện tương tác để quản lý việc tạo các bản vá trực tiếp.
Sự phát triển đang ở giai đoạn nguyên mẫu thử nghiệm. Đối với thử nghiệm ban đầu, những gợi ý sau đây được đề xuất: tuxtape-cve-parser để phân tích thông tin về lỗ hổng bảo mật và xây dựng cơ sở dữ liệu với các bản vá; tuxtape-server với việc triển khai giao diện gRPC cho các dịch vụ tạo bản vá; tuxtape-kernel-builder để xây dựng hạt nhân theo cấu hình nhất định và tạo hồ sơ xây dựng; tuxtape-dashboard là giao diện bảng điều khiển để xem xét và tạo các bản vá trực tiếp dựa trên các bản vá nguồn nhận được từ tuxtape-server.
Nguồn: opennet.ru
