I kernel Linux delle distribuzioni GNU/Linux che integrano solo patch selezionate sono i più sicuri? A quanto pare, no
In un recente post pubblicato sul blog dell’azienda CIQ, madre del progetto Rocky Linux di cui costantemente parliamo nell’ambito delle alternative a Red Hat Enterprise Linux, Jeremy Allison si è posto una semplice domanda: le distribuzioni che applicano solo poche e selezionate patch al Kernel Linux lo rendono più sicuro?
La risposta sembra essere decisamente no.
L’assunto di partenza è questa affermazione, parte dell’approccio dei vendor che l’articolo analizza:
These are the git mines. Working here we see the talented engineers of [INSERT YOUR DISTRO HERE] carefully selecting only the most polished and pristine open source patches from the raw upstream open source Linux kernel in order to create the secure distribution kernel you depend on in your business.
Queste sono le miniere di Git. Lavorando qui vediamo i talentuosi ingegneri di [INSERISCI LA TUA DISTRO QUI] selezionare attentamente solo le patch open source più raffinate e incontaminate dal kernel Linux open source upstream grezzo per creare il kernel di distribuzione sicuro da cui dipendi nella tua attività.
All’apparenza è un’affermazione sensatissima.
Partendo dal kernel Linux “vanilla”, ossia quello rilasciato direttamente dal progetto guidato da Linus Torvalds, le uniche integrazioni che vengono effettuate sono selezionatissime, dipendentemente dalle esigenze. Il problema è che il white paper dice l’esatto contrario.
Quel che emerge non potrebbe essere più chiaro:
- Un kernel Linux “congelato” è un kernel non sicuro e l’insicurezza raddoppia se il kernel viene rilasciato più avanti nel tempo.
- Il numero di bug noti in un kernel Linux “congelato” cresce nel tempo e la crescita del numero di bug accelera addirittura nel tempo.
- Ci sono troppi bug aperti in questi kernel Linux perché sia possibile analizzarli o addirittura classificarli.
Quindi no, l’approccio non pare decisamente quello corretto e ci sono i numeri a dimostrarlo, infatti nei recenti kernel Linux relativi a RHEL 8 il conteggio dei bug è chiarissimo: in RHEL 8.6 sono 5.034, in RHEL 8.7 invece 4.767, mentre in RHEL 8.8 sono 4.594.
Insomma, aggiornare (o rimanere aggiornati) conviene.
Lontano dal voler criticare chi lavora affinché tutto funzioni al meglio, Jeremy Allison sottolinea come il problema in questione sia di difficile soluzione, e come in ogni caso questa passi dalla collaborazione delle varie entità con il lavoro upstream fatto sul kernel Linux.
Ed a pensarci questo è proprio il principio del tanto discusso e poco applicato Shift-Left, ossia l’inserimento delle questioni sulla sicurezza il prima possibile nel ciclo di sviluppo. Poiché, questo studio ne è la dimostrazione, lavorare mediante backport è certamente meno efficiente oltre che più complicato.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.