Kees Cook hace un llamado para mejorar la organización del trabajo en Linux en relación a las correcciones de errores

கீஸ் குக் நான் ஒரு வலைப்பதிவு இடுகை செய்கிறேன் பிழை திருத்தும் செயல்முறை பற்றி கவலைகளை எழுப்பியுள்ளது லினக்ஸ் கர்னலின் நிலையான கிளைகளில் தொடர்கிறது வாரம் வாரத்திற்கு சுமார் நூறு திருத்தங்கள் சேர்க்கப்பட்டுள்ளன என்று குறிப்பிடவும் நிலையான கிளைகளில், இது அதிகமாக உள்ளது மற்றும் லினக்ஸ் கர்னல் அடிப்படையிலான தயாரிப்புகளை பராமரிக்க அதிக முயற்சி தேவைப்படுகிறது.

கீஸ் படிகர்னல் பிழை கையாளுதல் செயல்முறை புறக்கணிக்கப்பட்டது மற்றும் கர்னலுக்கு குறைந்தது 100 கூடுதல் டெவலப்பர்கள் இல்லை இந்த பகுதியில் ஒருங்கிணைந்த முறையில் வேலை செய்ய வேண்டும். முக்கிய கர்னல் டெவலப்பர்கள் தவறாக பிழைகளை சரிசெய்கிறார்கள் என்று குறிப்பிடுவதோடு, ஆனால் இந்த திருத்தங்கள் மூன்றாம் தரப்பு கர்னல் வகைகளுக்கு கொண்டு செல்லப்படும் என்பதற்கு எந்த உத்தரவாதமும் இல்லை.

அவ்வாறு செய்வதன் மூலம், பல்வேறு லினக்ஸ் கர்னல் அடிப்படையிலான தயாரிப்புகளைப் பயன்படுத்துபவர்களுக்கும் எந்த பிழைகள் சரி செய்யப்பட்டுள்ளன மற்றும் எந்த கருவி தங்கள் சாதனங்களில் பயன்படுத்தப்படுகிறது என்பதைக் கட்டுப்படுத்த வழி இல்லை என்று அவர் குறிப்பிடுகிறார். இறுதியில், விற்பனையாளர்கள் தங்கள் தயாரிப்புகளின் பாதுகாப்பிற்கு பொறுப்பேற்கிறார்கள், ஆனால் நிலையான கர்னல் கிளைகளில் மிக அதிக அளவு இணைப்புகளை எதிர்கொண்டனர், அவர்கள் அனைத்து இணைப்புகளையும் இடம்பெயரும் தேர்வை எதிர்கொண்டனர், தேர்ந்தெடுக்கப்பட்ட மிக முக்கியமானவற்றை இடம்பெயர்கிறார்கள் அல்லது அனைத்து இணைப்புகளையும் புறக்கணித்தனர். .

அப்ஸ்ட்ரீம் கர்னல் டெவலப்பர்கள் பிழைகளை சரிசெய்ய முடியும், ஆனால் ஒரு கீழ்நிலை விற்பனையாளர் தங்கள் தயாரிப்புகளில் இணைக்க என்ன தேர்வு செய்கிறார் என்பதில் அவர்களுக்கு எந்த கட்டுப்பாடும் இல்லை. இறுதிப் பயனர்கள் தங்கள் தயாரிப்புகளைத் தேர்வு செய்யலாம், ஆனால் பொதுவாக எந்த பிழைகள் சரி செய்யப்படுகின்றன அல்லது எந்த கர்னல் பயன்படுத்தப்படுகிறது என்பதில் அவர்களுக்கு எந்த கட்டுப்பாடும் இல்லை (ஒரு பிரச்சனை). இறுதியில், விற்பனையாளர்கள் தங்கள் தயாரிப்பு மையங்களை பாதுகாப்பாக வைத்திருக்கும் பொறுப்பு.

கீஸ் குக் உகந்த தீர்வு மிக முக்கியமான திருத்தங்கள் மற்றும் பாதிப்புகளை மட்டுமே மாற்றுவதாக இருக்கும் என்று கூறுகிறது, ஆனால் முக்கிய பிரச்சனை பொது ஓட்டத்திலிருந்து இந்த பிழைகளை பிரிப்பது, ஏனெனில் வளர்ந்து வரும் பெரும்பாலான சிக்கல்கள் சி மொழியின் பயன்பாட்டின் விளைவாகும், இது நினைவகம் மற்றும் சுட்டிகளுடன் வேலை செய்யும் போது அதிக கவனம் தேவை.

விஷயங்களை மோசமாக்க, பல சாத்தியமான பாதிப்பு திருத்தங்கள் CVE அடையாளங்காட்டிகளுடன் குறிக்கப்படவில்லை அல்லது இணைப்பு வெளியிடப்பட்ட சிறிது நேரத்திற்குப் பிறகு CVE அடையாளங்காட்டியைப் பெறவில்லை.

இத்தகைய சூழலில், பெரிய பாதுகாப்பு பிரச்சினைகளிலிருந்து சிறிய திருத்தங்களை தயாரிப்பாளர்கள் பிரிப்பது மிகவும் கடினம். புள்ளிவிவரங்களின்படி, CVE பணிக்கு முன் 40% க்கும் அதிகமான பாதிப்புகள் அகற்றப்படுகின்றன, மேலும் சராசரியாக ஒரு ஃபிக்ஸ் வெளியீடு மற்றும் CVE ஒதுக்கீடு ஆகியவற்றுக்கு இடையேயான தாமதம் மூன்று மாதங்கள் ஆகும் (அதாவது ஆரம்பத்தில், ஒரு பொதுவான தவறு என ஒரு தீர்வை உணர்கிறது,

இதன் விளைவாக, பாதிப்புகளுக்கான திருத்தங்களுடன் ஒரு தனி கிளை இல்லை மற்றும் இந்த அல்லது அந்த பிரச்சனையின் பாதுகாப்புடன் தொடர்பு பற்றிய தகவல் பெறவில்லை, லினக்ஸ் கர்னல் அடிப்படையிலான தயாரிப்புகளின் உற்பத்தியாளர்கள் தொடர்ந்து அனைத்து திருத்தங்களையும் மாற்ற வேண்டும் புதிய நிலையான கிளைகள். ஆனால் இந்த வேலை உழைப்பு தீவிரமானது மற்றும் உற்பத்தியின் இயல்பான செயல்பாட்டை சீர்குலைக்கக்கூடிய பிற்போக்குத்தன மாற்றங்களின் அச்சம் காரணமாக நிறுவனங்களின் எதிர்ப்பை எதிர்கொள்கிறது.

கீஸ் குக் நீண்ட காலத்திற்கு நியாயமான விலையில் கர்னலைப் பாதுகாப்பாக வைத்திருக்க ஒரே தீர்வு பேட்ச் பொறியாளர்களை இடமாற்றம் செய்வதே என்று நம்புகிறார் பைத்தியக்கார கர்னல் உருவாக்குகிறதுநான் ஒருங்கிணைந்த வழியில் ஒன்றாக வேலை செய்ய வேண்டும் அப்ஸ்ட்ரீம் கர்னலில் இணைப்புகள் மற்றும் பாதிப்புகளை பராமரிக்க. அது போல், பல விற்பனையாளர்கள் தங்கள் தயாரிப்புகளில் சமீபத்திய கர்னல் பதிப்புகளைப் பயன்படுத்துவதில்லை மற்றும் தங்கள் சொந்த பேக்போர்ட் திருத்தங்களைச் செய்கிறார்கள், அதாவது, வெவ்வேறு நிறுவனங்களின் பொறியாளர்கள் ஒருவருக்கொருவர் வேலையை நகலெடுத்து, அதே சிக்கலைத் தீர்க்கிறார்கள்.

உதாரணமாக, 10 நிறுவனங்கள், ஒவ்வொரு பொறியாளரும் ஒரே திருத்தங்களை ஆதரித்தால், இந்த பொறியியலாளர்கள் பிழைகளை மேல்நோக்கி திருப்பிவிட, ஒரு தீர்வை இடம்பெயர்வதற்கு பதிலாக, அவர்கள் ஒட்டுமொத்த நன்மைக்காக 10 வெவ்வேறு பிழைகளை சரிசெய்யலாம் அல்லது பிழைகளை மதிப்பாய்வு செய்ய ஒன்றாக வரலாம். . கர்னலில் தரமற்ற குறியீட்டைச் சேர்ப்பதைத் தவிர்க்கவும். புதிய குறியீட்டு பகுப்பாய்வு மற்றும் சோதனை கருவிகளை உருவாக்க வளங்கள் பயன்படுத்தப்படலாம், அவை ஆரம்ப கட்டத்தில் வழக்கமான பிழை வகுப்புகளை மீண்டும் மீண்டும் உருவாக்கும்.

கீஸ் குக் மேலும் தானியங்கி சோதனை மற்றும் தெளிவின்மையை இன்னும் தீவிரமாக பயன்படுத்த முன்மொழிகிறது கர்னல் மேம்பாட்டு செயல்பாட்டில் நேரடியாக, தொடர்ச்சியான ஒருங்கிணைப்பு முறைகளைப் பயன்படுத்தவும் மற்றும் மின்னஞ்சல் மூலம் வளர்ச்சியின் தொன்மையான நிர்வாகத்தை கைவிடவும்.

மூல: https://security.googleblog.com

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

கருத்து *

பெயர்*

மின்னணு அஞ்சல்*

நான் ஏற்றுக்கொள்கிறேன் தனியுரிமை விதிமுறைகள்*

தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.

செய்திமடலைப் பெற விரும்புகிறேன்

DesdeLinux

கீஸ் குக் பிழை திருத்தங்கள் தொடர்பாக லினக்ஸில் சிறந்த பணி அமைப்புக்கு அழைப்பு விடுக்கிறார்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் கருத்தை தெரிவிக்கவும் பதிலை ரத்துசெய்

உங்கள் கருத்தை தெரிவிக்கவும்