forum.opennet.ru

Составление сообщения

Исходное сообщение

"В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..."
Отправлено birdie, 29-Мрт-24 23:15

Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопасностью в Linux. Я знал, что что-то подобное случится, и это случилось.
Почти все дистрибутивы, за исключением, может быть, RHEL, торопятся выложить пакеты из upstream, никогда не проверяя, что исходный код не был затроянен.
Хуже того, независимые мейнтейнеры, назначенные для работы с пакетами, часто даже не являются разработчиками, так что у них нет ни возможностей, ни квалификации, чтобы прочитать код и убедиться, что он по-прежнему заслуживает доверия. Часто сопровождающие отвечают за несколько пакетов, и в то же время это не является их основной работой или тем, за что они получают зарплату, поэтому они практически не заинтересованы в том, чтобы все было правильно.
В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует. И дело не только в Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, поскольку никогда их не использовал.
Можно ли решить эту проблему? Понятия не имею.
Дистрибутивы Linux должны предпринять согласованные усилия по проверке пакетов и отмечать их как "доверенные". Я никогда не слышал ни о чем подобном, за исключением RHEL, который не является настольным дистрибутивом и, кроме того, сильно ограничил свои связи с сообществом.
Это не проблема XZ. Это проблема всей экосистемы Linux. Вопрос безопасности, надежности, доверия и проверяемости.

Исходное сообщение
"В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..." Отправлено birdie, 29-Мрт-24 23:15
Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопасностью в Linux. Я знал, что что-то подобное случится, и это случилось. Почти все дистрибутивы, за исключением, может быть, RHEL, торопятся выложить пакеты из upstream, никогда не проверяя, что исходный код не был затроянен. Хуже того, независимые мейнтейнеры, назначенные для работы с пакетами, часто даже не являются разработчиками, так что у них нет ни возможностей, ни квалификации, чтобы прочитать код и убедиться, что он по-прежнему заслуживает доверия. Часто сопровождающие отвечают за несколько пакетов, и в то же время это не является их основной работой или тем, за что они получают зарплату, поэтому они практически не заинтересованы в том, чтобы все было правильно. В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует. И дело не только в Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, поскольку никогда их не использовал. Можно ли решить эту проблему? Понятия не имею. Дистрибутивы Linux должны предпринять согласованные усилия по проверке пакетов и отмечать их как "доверенные". Я никогда не слышал ни о чем подобном, за исключением RHEL, который не является настольным дистрибутивом и, кроме того, сильно ограничил свои связи с сообществом. Это не проблема XZ. Это проблема всей экосистемы Linux. Вопрос безопасности, надежности, доверия и проверяемости.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Я уже много лет говорю об этой проблеме и о том, как > плохо обстоят дела с безопасностью в Linux. Я знал, что что-то > подобное случится, и это случилось. > Почти все дистрибутивы, за исключением, может быть, RHEL, торопятся выложить пакеты из > upstream, никогда не проверяя, что исходный код не был затроянен. > Хуже того, независимые мейнтейнеры, назначенные для работы с пакетами, часто даже не > являются разработчиками, так что у них нет ни возможностей, ни квалификации, > чтобы прочитать код и убедиться, что он по-прежнему заслуживает доверия. Часто > сопровождающие отвечают за несколько пакетов, и в то же время это > не является их основной работой или тем, за что они получают > зарплату, поэтому они практически не заинтересованы в том, чтобы все было > правильно. > В то время как крупные корпорации, такие как Microsoft, Google или Apple, > одобряют каждую строчку кода, которая попадает к вам как к клиенту, > в мире Linux такого не существует. И дело не только в > Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, > поскольку никогда их не использовал. > Можно ли решить эту проблему? Понятия не имею. > Дистрибутивы Linux должны предпринять согласованные усилия по проверке пакетов и отмечать > их как "доверенные". Я никогда не слышал ни о чем подобном, > за исключением RHEL, который не является настольным дистрибутивом и, кроме того, > сильно ограничил свои связи с сообществом. > Это не проблема XZ. Это проблема всей экосистемы Linux. Вопрос безопасности, надежности, > доверия и проверяемости.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру