Kees Cook nyauran organisasi damel anu langkung saé dina Linux ngeunaan perbaikan bug

Kees masak Kuring ngadamel tulisan blog anu mana parantos nimbulkeun kaprihatinan ngeunaan prosés ngalereskeun bug lumangsung di cabang stabil tina kernel Linux sareng éta nyebatkeun yén minggu ka minggu sakitar saratus koréksi kalebet dina cabang anu stabil, anu seueur teuing sareng meryogikeun seueur usaha pikeun ngajaga produk berbasis kernel Linux.

Numutkeun ka Kees, prosés penanganan kasalahan kernel dipotong sareng kernel kurangna 100 pangembang tambihan damel di koordinasi di daérah ieu. Salaku tambahan pikeun nyebatkeun yén pamekar kernel utama sacara rutin ngalereskeun bug, tapi teu aya jaminan yén perbaikan ieu bakal dibawa ka varian kernel pihak katilu.

Ku ngalakukeun éta, anjeunna nyebatkeun yén pangguna tina sagala rupa produk basis kernel Linux ogé teu gaduh cara pikeun ngendalikeun mana bug anu dibereskeun sareng kernel mana anu dianggo dina alatna. Pamustunganana, padagang tanggung jawab kaamanan produkna, tapi nyanghareupan tingkat tambalan anu luhur pisan dina dahan kernel anu stabil, aranjeunna nyanghareupan pilihan hijrah sadayana tambalan, sacara selektif hijrahkeun anu pangpentingna, atanapi henteu malire sadaya tambalan. .

Pamekar kernel hulu tiasa ngalereskeun bug, tapi aranjeunna henteu ngagaduhan kendali kana naon anu dipilih ku vendor hilir pikeun dilebetkeun kana produkna. Pangguna tungtung tiasa milih produkna, tapi aranjeunna umumna teu aya kendali kana bug mana anu dibereskeun atanapi kernel mana anu dianggo (masalah dina dirina sorangan). Pamustunganana, padagang tanggung jawab ngajaga inti produkna aman.

Kees masak nunjukkeun yén solusi anu optimal nyaéta pikeun mindahkeun ngan ukur perbaikan anu paling penting sareng kerentanan, tapi masalah utami nyaéta misahkeun kasalahan-kasalahan ieu tina aliran umum, kumargi seuseueurna masalah anu muncul mangrupikeun akibat tina panggunaan bahasa C, anu peryogi seueur ati-ati nalika damel sareng mémori sareng petunjuk.

Janten parah, seueur koréksi kerentanan poténsial henteu ditandaan nganggo pengenal CVE atanapi henteu nampi identifier CVE sababaraha waktos saatos tambalan dileupaskeun.

Dina lingkungan sapertos kitu, hésé pisan pikeun pabrik pikeun misahkeun perbaikan minor tina masalah kaamanan utama. Numutkeun statistik, langkung ti 40% kerentanan dipiceun sateuacan ngerjakeun CVE, sareng rata-rata reureuh antawis ngaleupaskeun fix sareng tugas CVE nyaéta tilu bulan (nyaéta, dina awalna, nganggap solusi salaku kasalahan umum,

Hasilna teu ngagaduhan cabang anu misah sareng perbaikan pikeun kerentanan sareng henteu nampi inpormasi ngeunaan hubungan sareng kaamanan masalah ieu atanapi éta, pabrik produk basis kernel Linux kedah teras-terasan mindahkeun sadaya perbaikan tina dahan stabil anyar. Tapi padamelan ieu padamelan padamelan sareng nyanghareupan perlawanan ti perusahaan kusabab takwa parobihan régrési anu tiasa ngaganggu operasi normal produk.

Konci Masak percaya yén hiji-hijina solusi pikeun ngajaga kernel aman dina biaya anu lumayan dina jangka panjang nyaéta mindahkeun insinyur tambal nepi ka gélo kernel ngawangunAbdi damel babarengan dina cara anu terkoordinasi pikeun ngajaga tambalan sareng kerentanan dina kernel hulu. Sakumaha nangtung, seueur padagang henteu nganggo vérsi kernel pangénggalna dina produkna sareng ngalereskeun backport nyalira, nyaéta tétéla insinyur ti perusahaan anu sanés duplikat karya masing-masing, méréskeun masalah anu sami.

Salaku conto, upami 10 perusahaan, masing-masing sareng insinyur anu ngadukung ngalereskeun anu sami, alihan insinyur ieu pikeun ngalereskeun hulu hulu, tibatan migrasi hiji fix, aranjeunna tiasa ngalereskeun 10 bug anu béda pikeun manpaat sacara umum atanapi sasarengan marios bug. Usulan parobihan . Sareng hindarkeun kalebet kode buggy dina kernel. Sumberdaya ogé tiasa dianggo pikeun nyiptakeun analisis kode sareng alat uji anu énggal anu otomatis bakal mendakan dina tahap awal kelas kasalahan anu biasa anu sering diulang-ulang.

Konci Masak ogé ngusulkeun pikeun langkung aktip nganggo tés otomatis sareng pembakaran langsung dina prosés pangwangunan kernel, anggo sistem integrasi kontinyu sareng tinggalkeun manajemen arsip pangwangunan ngalangkungan e-mail.

sumber: https://security.googleblog.com


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.