Фонд Gentoo
Группа разработчиков Gentoo, оснащенных социальными сетями, провела сегодня сессию AMA на Reddit, и они не уклонились от ответов на сложные вопросы. Многие из них были связаны с проблемами безопасности, но следует отметить, что Gentoo Linux уже имеет репутацию лидера в области обновлений безопасности.
Распространение включает еженедельный скользящий график выпусков, который гарантирует, что подавляющее большинство пользователей всегда используют самые свежие пакеты. Одна из поднятых проблем заключалась в том, что могло произойти, если исходный код популярного пакета содержал своего рода троян. Давние пользователи Linux могут вспомнить, что исходный код сервера UnrealIRCd в какой-то момент содержал бэкдор, хотя разработчики исправили проблему, как только обнаружили ее.
Поскольку Gentoo компилирует исходный код локально в соответствии с предпочтениями пользователя, обычно он не будет скомпрометирован в результате взлома двоичного файла. Однако может возникнуть проблема, если исходные пакеты каким-то образом были скомпрометированы.
По мнению экспертов по безопасности Gentoo, это может произойти только несколькими способами. Если исходный репозиторий для некоторого фрагмента исходного кода содержал троян, то его было бы сложно поймать нижестоящим. Такая проблема безопасности Linux повлияет на многие дистрибутивы, а не только на Gentoo.
Если tar-файл был заменен где-то в конце строки, то не имело бы значения, был ли исходный код исходного кода чистым. Однако использование OpenPGP для подписания выпуска перед добавлением его в репозиторий ebuild в Gentoo вместе с проверкой контрольных сумм помогает гарантировать, что это не должно быть проблемой в большинстве ситуаций.
Комментарии AMA также помогли прояснить некоторые другие методы, используемые для предотвращения подобных ситуаций. Когда push или коммиты добавляются в репозиторий, они подписываются разработчиками. Благодаря реализации основной промежуточной области rsync для уплотнения коммитов и их добавления в MetaManifest, который также подписан, ротация ключей стала для разработчиков довольно простой.
Повышенное внимание к вопросам безопасности Linux присутствует почти во всех основных дистрибутивах, но из этих комментариев определенно следует, что Gentoo приложил все усилия, чтобы обеспечить безопасность их реализации.
Теги Безопасность Linux
