LinuxParty
Jeremy Allison: Sam es un ingeniero distinguido en CIQ, creador de Rocky Linux. Publicó una entrada de blog respondiendo a las promesas de las distribuciones de Linux "seleccionando cuidadosamente sólo los parches de código abierto más pulidos y prístinos del kernel de Linux de código abierto sin procesar para crear el kernel de distribución seguro del que depende en su negocio".
Pero , ¿ los parches de software cuidadosamente seleccionados (aplicados a un conocido kernel de Linux "congelado") realmente aportan mayor seguridad? "Después de mucho trabajo duro y análisis de datos por parte de mis colegas de ingeniería del kernel de CIQ, Ronnie Sahlberg y Jonathan Maple, finalmente tenemos una respuesta a esta pregunta. Es no".Los datos muestran que los kernels de Linux de proveedores "congelados", creados mediante la bifurcación de un punto de lanzamiento y luego utilizando un equipo de ingenieros para seleccionar parches específicos para retroportar a esa rama, tienen más errores que el kernel de Linux "estable" ascendente creado por Greg. Kroah-Hartman. ¿Cómo puede ser esto? Si desea conocer todos los detalles, el enlace al documento técnico está aquí. Pero los resultados del análisis no podrían ser más claros.
- Un kernel de proveedor "congelado" es un kernel inseguro. Un kernel de proveedor lanzado más adelante en el calendario de lanzamiento lo es doblemente.
- El número de errores conocidos en un kernel de proveedor "congelado" crece con el tiempo. El crecimiento del número de errores incluso se acelera con el tiempo.
- Hay demasiados errores abiertos en estos núcleos como para que sea factible analizarlos o incluso clasificarlos...
Pensar que estás tomando una decisión más segura al utilizar un núcleo de proveedor "congelado" no es una lujo que todavía podemos permitirnos creer. Como dijo explícitamente Greg Kroah-Hartman en su charla "Desmitificando el proceso de seguridad del kernel de Linux": "Si no estás utilizando el último kernel estable/a largo plazo, tu sistema es inseguro".
CIQ describe su informe como "un recuento de todos los errores conocidos de un kernel anterior que se introdujeron, pero que nunca se solucionaron en RHEL 8".Para los kernels RHEL 8 más recientes, al momento de escribir este artículo, estos recuentos son: RHEL 8.6: 5034 RHEL 8.7: 4767 RHEL 8.8: 4594 En RHEL 8.8 tenemos un total de 4594 errores conocidos con correcciones que existen en el sentido anterior, pero para los cuales Las correcciones conocidas no se han adaptado a RHEL 8.8. La situación es peor para RHEL 8.6 y RHEL 8.7, ya que cortaron la portabilidad anterior a RHEL 8.8 pero, por supuesto, eso no impidió que se descubrieran y corrigieran nuevos errores en el sentido anterior....
Este documento técnico no pretende ser una crítica al ingenieros que trabajan en cualquier proveedor de Linux y que se dedican a producir un trabajo de alta calidad en sus productos en nombre de sus clientes. Este problema es extremadamente difícil de resolver. Sabemos que esto es un secreto a voces entre muchos en la industria y nos gustaría incluir cifras concretas que describan el problema para fomentar el debate. Nuestra esperanza es que los proveedores de Linux y la comunidad en su conjunto se unan detrás de los kernels estables de kernel.org como la mejor solución compatible a largo plazo. Como ingenieros, preferiríamos que esto nos permitiera dedicar más tiempo a corregir errores específicos de los clientes y enviar mejoras de funciones en sentido ascendente, en lugar de la interminable rutina de respaldar los cambios en los núcleos de los proveedores, una práctica que puede introducir más errores de los que corrige.
ZDNet lo llama "un secreto a voces en la comunidad Linux".No basta con utilizar una versión de soporte a largo plazo. Debe utilizar la versión más actualizada para estar lo más seguro posible. Lamentablemente casi nadie hace eso. Sin embargo, como explicó el ingeniero del kernel de Linux de Google, Kees Cook, "Entonces, ¿qué debe hacer un proveedor? La respuesta es simple: si es dolorosa: actualizar continuamente a la última versión del kernel, ya sea principal o estable". ¿Por qué? Como explicó Kroah-Hartman, "Cualquier error tiene el potencial de ser un problema de seguridad a nivel del kernel..."
Aunque los programadores [de CIQ] examinaron RHEL 8.8 específicamente, este es un problema general. Habrían encontrado los mismos resultados si hubieran examinado SUSE, Ubuntu o Debian Linux. Las distribuciones de Linux de lanzamiento continuo, como Arch, Gentoo y OpenSUSE Tumbleweed, lanzan constantemente las últimas actualizaciones, pero no se utilizan en las empresas.
La publicación de Jeremy Allison señala que "el kernel de Linux utilizado por los dispositivos Android se basa en el kernel ascendente y también tiene una ABI de kernel interna estable, por lo que este no es un problema insuperable..."

-
Transportes
- Volkswagen recupera los botones físicos y dice que quitarlos fue un error
- BMW invierte en motores de combustión interna y considera que los vehículos eléctricos son una "montaña rusa" en Estados Unidos
- Las ventas de vehículos eléctricos e híbridos alcanzaron un récord del 20 % de las ventas de vehículos en EE. UU. en 2024
- Los coches eléctricos chinos ya están ganando popularidad en México, Europa, Asia y África
- ¿Podría un túnel ferroviario submarino Hyperloop ofrecer viajes de una hora desde Londres a Nueva York?
- Ingeniero jubilado crea un coche solar biplaza con dos bicicletas eléctricas
- ¿Qué está frenando el avance hacia los coches eléctricos?
- La Startup de Entregas Autónomas Nuro se Prepara para un Regreso
- Cruise, propiedad de GM, ha perdido (un repentino) interés en los automóviles sin volante
- Se gasta 40.000 Euros para Crear Réplica del Coche Fantástico
- La caída de los precios de los vehículos eléctricos usados en Estados Unidos sigue siendo cada vez más profunda
- El sistema operativo para vehículos basado en RHEL de Red Hat obtiene la certificación de seguridad Milestone
- Aviones propulsados por energía solar toman vuelo
- Mercedes-Benz retrocede en su plan de vender únicamente vehículos eléctricos para 2030
- Europa Descarta el Tren Ruta de la Plata para Antes de 2050: Golpe a las Comunicaciones del Oeste Peninsular