Fundația Gentoo
Un grup de dezvoltatori Gentoo echipați cu rețele sociale a găzduit astăzi o sesiune AMA pe Reddit și nu s-au sfiit să lanseze întrebări dificile. Multe dintre acestea au fost legate de probleme de securitate, cred că trebuie remarcat faptul că Gentoo Linux are deja reputația de a fi înaintea jocului atunci când vine vorba de actualizări de securitate.
Distribuția are un program de lansare săptămânal care asigură o majoritate covârșitoare a utilizatorilor care folosesc pachete actualizate în orice moment. O problemă care a fost adusă în discuție a fost ce s-ar putea întâmpla dacă codul sursă pentru un pachet popular conținea un fel de troian. Utilizatorii Linux de multă vreme ar putea să-și amintească că codul sursă al serverului UnrealIRCd conținea un backdoor la un moment dat, deși dezvoltatorii au corectat problema imediat ce au surprins-o.
Întrucât Gentoo compilează codul sursă local în funcție de preferințele unui utilizator, acesta nu va deveni în mod normal compromis ca urmare a unui fisier binar. Cu toate acestea, poate exista o problemă dacă pachetele sursă au fost cumva compromise.
Potrivit experților în securitate ai Gentoo, există doar câteva modalități posibile în care acest lucru s-ar putea întâmpla. Dacă depozitul din amonte pentru o parte din codul sursă ar conține un troian, atunci ar fi greu de prins în aval. Acest tip de problemă de securitate Linux ar influența multe distribuții și nu doar Gentoo.
Dacă un fișier tar a fost schimbat undeva pe linie, atunci nu ar conta dacă sursa din amonte este curată. Cu toate acestea, utilizarea OpenPGP pentru a semna versiunea înainte de a fi adăugată la depozitul ebuild de la Gentoo împreună cu inspectarea sumelor de verificare ajută la asigurarea faptului că acest lucru nu ar trebui să fie o problemă în majoritatea situațiilor.
Comentariile AMA au contribuit, de asemenea, la clarificarea unor alte metode utilizate pentru a preveni acest tip de lucruri să se întâmple. Când push-urile sau validările sunt adăugate într-un depozit, acestea sunt semnate de dezvoltatori. Prin implementarea unei zone de etapă master rsync pentru îngroșarea angajamentelor, apoi adăugarea acestora la un MetaManifest care este, de asemenea, semnat, rotația cheii a devenit destul de simplă pentru dezvoltatori.
Un accent reînnoit asupra problemelor de securitate Linux este prezent în aproape toate distribuțiile majore, dar din aceste comentarii reiese cu siguranță că Gentoo a făcut un efort suplimentar pentru a asigura siguranța implementării lor.
Etichete Securitate Linux
