Kijs Kuks Es izveidoju emuāra ierakstu, kurā ir paudis bažas par kļūdu novēršanas procesu notiek stabilās Linux kodola filiālēs, un tas ir tas pieminēt, ka katru nedēļu ir iekļauti aptuveni simts labojumu uz stabiliem zariem, kas ir pārāk daudz un prasa daudz pūļu, lai uzturētu uz Linux kodolu balstītus produktus.
Saskaņā ar Kees, kodola kļūdu apstrādes process tiek apiets un kodolam trūkst vismaz 100 papildu izstrādātāju strādāt koordinēti šajā jomā. Papildus pieminēšanai, ka lielākie kodolu izstrādātāji regulāri labo kļūdas, taču nav garantijas, ka šie labojumi tiks pārnesti uz trešo pušu kodolu variantiem.
To darot, viņš piemin, ka dažādu Linux kodolu saturošu produktu lietotājiem arī nav iespējas kontrolēt, kuras kļūdas ir novērstas un kurš kodols tiek izmantots viņu ierīcēs. Galu galā pārdevēji ir atbildīgi par savu produktu drošību, taču, saskaroties ar ļoti augstu ielāpu skaitu uz stabiliem kodola zariem, viņi izvēlējās migrēt visus ielāpus, selektīvi migrēt vissvarīgākos vai ignorēt visus ielāpus. .
Augšupējā kodola izstrādātāji var labot kļūdas, taču viņiem nav kontroles pār to, ko pakārtotais pārdevējs izvēlas iekļaut savos produktos. Galalietotāji var izvēlēties savus produktus, taču parasti viņi nekontrolē, kuras kļūdas ir novērstas vai kurš kodols tiek izmantots (problēma pati par sevi). Galu galā pārdevēji ir atbildīgi par savu produktu kodolu drošību.
Kijs Kuks ierosina, ka optimālais risinājums būtu pārsūtīt tikai vissvarīgākos labojumus un ievainojamības, bet galvenā problēma ir nošķirt šīs kļūdas no vispārējās plūsmas, jo lielākā daļa jauno problēmu rodas no C valodas lietošanas, kas prasa lielu rūpību, strādājot ar atmiņu un rādītājiem.
Pasliktinot situāciju, daudzi iespējamie ievainojamības labojumi nav atzīmēti ar CVE identifikatoriem vai kādu laiku pēc plākstera izlaišanas nesaņem CVE identifikatoru.
Šādā vidē ražotājiem ir ļoti grūti nodalīt nelielus labojumus no galvenajām drošības problēmām. Saskaņā ar statistiku vairāk nekā 40% ievainojamību tiek noņemti pirms CVE piešķiršanas, un vidēji kavēšanās starp labojuma izlaišanu un CVE piešķiršanu ir trīs mēneši (tas ir, sākumā risinājums tiek uztverts kā izplatīta kļūda,
Kā rezultātā, nav atsevišķas filiāles ar ievainojamību labojumiem un nesaņem informāciju par saistību ar šīs vai šīs problēmas drošību, Linux kodolu saturošu produktu ražotājiem ir nepārtraukti jāpārsūta visi labojumi no jaunajām stabilajām filiālēm. Bet šis darbs ir darbietilpīgs un saskaras ar uzņēmumu pretestību, jo baidās no regresīvām izmaiņām, kas varētu traucēt produkta normālu darbību.
Atslēgas pavārs uzskata, ka vienīgais risinājums, lai ilgtermiņā saglabātu kodola drošību par saprātīgām izmaksām, ir ielāpu inženieru pārvietošana trakām kodolu būvēml Koordinēti strādāt kopā lai saglabātu ielāpus un ievainojamības augšējā augšējā kodolā. Pašreizējā situācijā daudzi pārdevēji savos produktos un backport labojumos neizmanto pašas jaunākās kodola versijas, tas ir, izrādās, ka dažādu uzņēmumu inženieri dublē viens otra darbu, atrisinot vienu un to pašu problēmu.
Piemēram, ja 10 uzņēmumi, kuru inženieris atbalsta tos pašus labojumus, novirza šos inženierus, lai labotu kļūdas augšup, nevis migrētu vienu labojumu, tie varētu labot 10 dažādas kļūdas, lai gūtu kopēju labumu, vai sanākt kopā, lai pārskatītu šīs kļūdas. . Un izvairieties no kļūdaina koda iekļaušanas kodolā. Resursus varētu izmantot arī, lai izveidotu jaunus koda analīzes un testēšanas rīkus, kas agrīnā stadijā automātiski noteiktu tipiskās kļūdu klases, kas rodas atkal un atkal.
Atslēgas pavārs ierosina arī aktīvāk izmantot automatizēto testēšanu un izplūšanu tieši kodola izstrādes procesā, izmantojiet nepārtrauktas integrācijas sistēmas un atsakieties no arhaiskas attīstības pārvaldības, izmantojot e-pastu.
Fuente: https://security.googleblog.com