LinuxParty

Después de la decisión de Red Hat de compartir solo el código fuente de RHEL con los suscriptores, AlmaLinux pidió a los remitentes de informes de errores que "intentaran probar y replicar el problema también en CentOS Stream, para que podamos concentrar nuestra energía en corregirlo en el lugar correcto".

Red Hat le dijo a Ars Technica que están "ansiosos por colaborar" en su distribución CentOS Stream, "incluso si finalmente competimos en un sentido comercial. La competencia diferenciada es un signo de un ecosistema saludable".

Pero Red Hat aún logró alterar algunas plumas, informa ZDNet: El líder del equipo de infraestructura de AlmaLinux, Jonathan Wright, publicó recientemente una corrección de CentOS Stream para CVE-2023-38403 , un problema de desbordamiento de memoria en iperf3 . Iperf3 es una popular prueba de rendimiento de red de código abierto. Este agujero de seguridad es importante, pero no un gran problema.

Aún así, es mucho mejor arreglarlo que dejarlo quedarse y ver que eventualmente se usa para bloquear un servidor. Eso es lo que yo y otros sentimos de todos modos. Pero, luego, un ingeniero de software sénior de Red Hat respondió: "Gracias por la contribución. En este momento, no planeamos abordar esto en RHEL , pero lo mantendremos abierto para su evaluación en función de los comentarios de los clientes".

Eso se volcó como un globo de plomo.

La conversación de GitLab continuó:

AlmaLinux: "¿Es realmente necesaria la demanda de los clientes para corregir los CVE?"

Red Hat: "Nos comprometemos a abordar los problemas de seguridad críticos e importantes definidos por Red Hat. Las vulnerabilidades de seguridad con gravedad baja o moderada se abordarán a pedido cuando [un] cliente u otros requisitos comerciales existan para hacerlo".

AlmaLinux: "Incluso puedo entender eso, pero ¿por qué rechazar la solución cuando el trabajo ya está hecho y solo tiene que fusionarse?"

En este punto, Mike McGrath, vicepresidente de Core Platforms de Red Hat, también conocido como RHEL, intervino. Explicó: "Probablemente deberíamos crear un documento de 'qué esperar al enviar'. Obtener el código escrito es solo el primer paso en lo que hace Red Hat con él. Tendríamos que asegurarnos de que no haya regresiones, control de calidad, etc.... Así que gracias por la contribución, parece que el lado de Fedora va bien, así que Terminaré en RHEL en algún momento".

Las cosas se fueron cuesta abajo rápidamente desde allí...

En Reddit, McGrath dijo: "Admito que tuvimos una gran oportunidad para un gesto de buena fe hacia Alma aquí y fallamos ".

Finalmente, aunque el equipo de seguridad de productos de Red Hat calificó el CVE como "Importante ,
Coincidentemente, el mes pasado AlmaLinux anunció que su alejamiento de la compatibilidad 1:1 con RHEL significaba que "ahora podemos aceptar correcciones de errores fuera del ciclo de lanzamiento de Red Hat ".

Este jueves, AlmaLinux también reiteró que están "totalmente comprometidos a brindar la mejor experiencia posible para la comunidad, sin importar dónde o qué ejecute". Y en un movimiento aparente para reforzar las pruebas de compatibilidad, anunciaron que traerían openQA al ecosistema RHEL . (Describen openQA como una herramienta que utiliza máquinas virtuales que "simplifica las pruebas automatizadas de todo el proceso de instalación de un sistema operativo en una amplia combinación de configuraciones de software y hardware").