Kees Cook خواستار سازماندهی بهتر کار در لینوکس در مورد رفع اشکال است

کیز کوک من یک پست وبلاگ می گذارم که در آن نگرانی هایی در مورد روند رفع اشکال ایجاد کرده است در شاخه های پایدار هسته لینوکس در حال انجام است و این است ذکر کنید که هفته به هفته حدود صد اصلاح شامل می شود در شاخه های پایدار ، که بسیار زیاد است و برای حفظ محصولات مبتنی بر هسته لینوکس به تلاش زیادی نیاز دارد.

به گفته کیس، فرآیند رسیدگی به خطای هسته دور می زند و هسته فاقد حداقل 100 توسعه دهنده اضافی است به صورت هماهنگ در این زمینه کار کنند. علاوه بر ذکر این نکته که توسعه دهندگان اصلی هسته مرتباً اشکالات را برطرف می کنند ، اما هیچ تضمینی وجود ندارد که این رفع مشکلات به انواع هسته های شخص ثالث نیز منتقل شود.

در انجام این کار ، وی اشاره می کند که کاربران محصولات مختلف مبتنی بر هسته لینوکس نیز هیچ راهی برای کنترل اینکه کدام اشکال برطرف شده و کدام هسته در دستگاه های آنها استفاده می شود را ندارند. در نهایت ، فروشندگان مسئول امنیت محصولات خود هستند ، اما در مواجهه با نرخ بسیار بالایی از وصله ها در شاخه های هسته پایدار ، با انتخاب مهاجرت همه وصله ها ، مهاجرت انتخابی مهمترین آنها یا نادیده گرفتن همه تکه های وصله مواجه شدند. .

توسعه دهندگان هسته بالادستی می توانند اشکالات را برطرف کنند ، اما آنها هیچ کنترلی بر آنچه یک فروشنده پایین دست برای انتخاب محصولات خود انتخاب می کند ندارند. کاربران نهایی می توانند محصولات خود را انتخاب کنند ، اما به طور کلی هیچ کنترلی بر رفع اشکال یا رفع کرنل (به خودی خود مشکلی) ندارند. در نهایت ، فروشندگان مسئول ایمن نگه داشتن هسته محصولات خود هستند.

کیز کوک پیشنهاد می کند که راه حل بهینه انتقال تنها مهمترین رفع و آسیب پذیری ها باشد، اما مشکل اصلی این است که این خطاها را از جریان کلی جدا کنیم ، زیرا اکثر مشکلات در حال ظهور ، نتیجه استفاده از زبان C است که هنگام کار با حافظه و اشاره گرها به مراقبت زیادی احتیاج دارد.

بدتر از همه ، بسیاری از رفع آسیب پذیری های احتمالی با شناسه های CVE برچسب گذاری نمی شوند یا مدتی پس از انتشار وصله شناسه CVE دریافت نمی کنند.

در چنین محیطی ، برای تولیدکنندگان بسیار سخت است که اصلاحات جزئی را از مسائل مهم امنیتی جدا کنند. طبق آمار ، بیش از 40 درصد آسیب پذیری ها قبل از تعیین CVE برطرف می شوند و به طور متوسط ​​تاخیر بین انتشار ثابت و تعیین CVE سه ماه است (یعنی در ابتدا ، راه حل به عنوان یک اشتباه رایج درک می شود ،

در نتیجه، نداشتن یک شاخه جداگانه با رفع آسیب پذیری ها و عدم دریافت اطلاعات مربوط به ارتباط با امنیت این یا آن مشکل ، تولیدکنندگان محصولات مبتنی بر هسته لینوکس باید به طور مداوم همه رفع مشکلات را منتقل کنند از شاخه های پایدار جدید اما این کار پرهزینه است و به دلیل ترس از تغییرات واپسگرا که می تواند عملکرد عادی محصول را مختل کند ، با مقاومت شرکت ها روبرو است.

کلیدها کوک معتقد است تنها راه حل برای ایمن نگه داشتن هسته با هزینه مناسب در دراز مدت ، جابجایی مهندسان پچ است به ساخت هسته دیوانهl به صورت هماهنگ با هم کار کنیم برای حفظ وصله ها و آسیب پذیری ها در هسته بالادست. به طور کلی ، بسیاری از فروشندگان از جدیدترین نسخه های هسته در محصولات خود استفاده نمی کنند و پشتیبان گیری را به تنهایی انجام می دهند ، یعنی معلوم می شود که مهندسان شرکت های مختلف کارهای یکدیگر را کپی کرده و مشکل مشابه را حل می کنند.

به عنوان مثال ، اگر 10 شرکت ، هر یک با مهندسی که از رفع یکسان پشتیبانی می کند ، این مهندسها را جهت رفع اشکالات در بالادست تغییر مسیر دهند ، به جای مهاجرت به یک رفع مشکل ، می توانند 10 اشکال مختلف را به نفع کلی برطرف کنند یا برای بررسی اشکالات پیشنهادی با هم جمع شوند. . و از درج کد اشکال در هسته خودداری کنید. همچنین می توان از این منابع برای ایجاد ابزارهای تجزیه و تحلیل کد جدید استفاده کرد که به طور خودکار در مراحل اولیه کلاسهای خطای معمولی که بارها و بارها ظاهر می شوند را تشخیص دهد.

کلیدها کوک همچنین پیشنهاد می کند که به طور فعال تری از آزمایش خودکار و فازینگ استفاده کنید مستقیماً در فرایند توسعه هسته ، از سیستم های ادغام مداوم استفاده کنید و مدیریت قدیمی توسعه را از طریق ایمیل کنار بگذارید.

Fuente: https://security.googleblog.com


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد.

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.