Jaderné noviny - 16. 7. 2008

2. 9. 2008 | Jirka Bourek | Jaderné noviny | 2775×

Obsah

• Aktuální verze jádra: 2.6.26
• Citáty týdne: Linus Torvalds, Dave Jones, Ingo Molnár, Herbert Xu
• 2.6.27: Co přichází (část první)
• Bloková vrstva: Testování integrity a spousta oddílů
• Rozšířené oddíly
• Řešení bezpečnostních problémů v jádře
• Jaderné bezpečnostní problémy: Reakce

Aktuální verze jádra: 2.6.26

Jádro 2.6.26 je venku, Linus ho vydal 13. července. Pro ty, kteří si nás právě naladili: některé z větších změn v 2.6.26 zahrnují podporu PAT na architektuře x86, vázaná připojení pouze pro čtení, debugger KGDB, spoustu práce na virtualizaci a více. Mnoho detailů vizte na stránce o 2.6 na KernelNewbies.

Začleňovací okno 2.6.27 se otevřelo a v době psaní tohoto článku už bylo začleněno asi 3000 sad změn. Shrnutí toho, co bylo (zatím) do tohoto vývojového cyklu začleněno, najdete v článku níže.

Aktualizace stabilního jádra 2.6.25.11 byla vydána 13. července. Obsahuje jednu opravu pro lokálně zneužitelnou chybu (omezenou na systémy s x86_64).

Citáty týdne: Linus Torvalds, Dave Jones, Ingo Molnár, Herbert Xu

-- Linus Torvalds

-- Dave Jones

-- Ingo Molnár

-- Linus Torvalds otevírá plechovku červů

-- Herbert Xu

-- Linus Torvalds

2.6.27: Co přichází (část první)

Po vydání 2.6.26 Linus neztrácel čas; začleňovací okno 2.6.27 otevřel po méně než 24 hodinách. V době psaní tohoto článku proces sotva začal, začleněno bylo pouhých 3000 sad změn. Zatím tedy nemáme kompletní obraz toho, co bude v příštím vydání jádra. Můžeme se nicméně podívat na to, co bylo začleněno doteď.

Změny viditelné pro uživatele zahrnují:

• Nové ovladače pro

  • zvuková zařízení CompuLab EM-x270 (která je možné najít v PDA Toshiba e800),
  • kodeky Philips UDA1380,
  • kodeky Wolfson Micro WM8510 a WM8990,
  • Audio zařízení Atmel AT32,
  • kodeky AK4535,
  • zvuková zařízení SGI HAL2 (která lze najít v pracovních stanicích Indigo2 a Indy),
  • zvukové karty SGI O2,
  • crypto enginy v procesorech Intel IXP4xx,
  • procesory Freescale Security Engine,
  • AMD jednotky správy I/O paměti,
  • procesory Marvell Loki (88RC8480), Kirkwood (88F6000) a Discovery Duo (MV78xx0) v systémech na chipu [system-on-chip],
  • adaptéry IBM Power Virtual Fibre Channel
  • a GEFanuc C2K cPCI jednodeskové počítače [single-board].

• Stará architektura "ppc" byla odstraněna; všechny platformy jsou nyní podporovány integrovaným kódem architektury "powerpc".

• Filtr SCSI příkazů - který určuje, které SCSI příkazy mohou být poslány zařízení podle druhu uživatele - lze nyní nastavit pro každé zařízení zvlášť a změnit přes sysfs.

• Blokový subsystém nyní podporuje hardware, který umožňuje kontrolovat integritu dat; to umožní zachytit některé druhy chyb předtím, než jsou dotyčná data navždy ztracena. Vizte níže, kde najdete více informací o vlastnosti integrity blokové vrstvy.

• Linuxový bezpečnostní modul "dummy" byl odstraněn; výchozím modulem se stal modul capabilities.

• Šifrovací kód získal podporu pro RIPEMD-128, RIPEMD-160, RIPEMD-256 a RIPEMD-320 hashovací algoritmy. Je podporováno asynchronní hashování, které je implementováno "cryptd" softwarovým crypto démonem.

• Xen má nyní podporu pro ukládání a obnovování virtuálních strojů - s možností migrovat je mezitím na jiného hostitele.

• Nový virtuální soubor /sys/firmware/memmap ukazuje mapu paměti, jak byla nakonfigurována BIOSem předtím, než nabootovalo jádro.

• Byl začleněn lehký sledovací framework ftrace. Více informací o něm vizte v Documentation/ftrace.txt

• Byl začleněn nástroj mmiotrace. MMiotrace zachytává a vypisuje přístupy do paměťově mapovaného I/O, díky čemuž je užitečný při reverzním inženýrství binárních ovladačů.

• Architektury ARM a powerpc nyní podporují nástroj latencytop.

• Kód RDMA získal podporu pro Infiniband operace "rozšíření pro základní správu paměti". Kód IP-přes-Infiniband nyní může provádět vykládání při rozsáhlém příjmu [large receive offload, LRO]

• Do souborového systému ext4 byla přidána podpora pro zpožděné alokace. Ext4 se tak co se vlastností týče blíží ke svému cíli.

• SATA vrstva má nyní podporu pro správu diskových šasi [enclosure management]; to systému umožňuje dělat věci, jako je blikání LED, která v rozsáhlém úložišti indikuje specifický disk.

• Vrstva binární kompatibility SGI IRIX byla odstraněna.

Změny viditelné pro vývojáře jádra zahrnují:

• Funkce register_security() byla odstraněna. Bezpečnostní moduly, které chtějí implementovat skládání [stacking], to musí udělat explicitně.

• Typ request_queue_t je konečně pryč; blokové ovladače by místo něj měly použít struct request_queue

• Byl začleněn docela velký kus práce na odstranění velkého jaderného zámku. Pro znaková zařízení již metoda open() ze struct file_operations není chráněna BKL. Volání fasync() také ztratila ochranu BKL.

• Bylo konvertováno mnoho ovladačů, aby používaly zavaděč firmwaru, což těm, kteří jsou tomu nakloněni, umožňuje vyhodit firmware z jádra. Více informací o práci na firmwarech najdete v článku Odstraňování firmwaru.

• Práce na API ve vrstvě i2c pokračuje; nyní je tam schopnost autodetekce, která umožňuje ovladačům nového stylu automaticky detekovat zařízení na sběrnicích.

• SCSI vrstva získala novou podporu pro "manipulátory zařízení", která se nejvíce zabývá správou více cest [multipath]. Část tohoto kódu byla přesunuta z device mapperu.

Později se vraťte a přečtěte si další epizodu seriálu Co přichází v 2.6.27.

Bloková vrstva: Testování integrity a spousta oddílů

Člověk si rád myslí, že disky jsou spolehlivá úložiště dat. Dokud se nic nepokazí tak, že se ze zařízení zakouří, bloky zapsané na disk by se skutečně měly vrátit se stejnými bity na stejných místech. Skutečná situace ale není tak povzbudivá, obzvláště když se jedná o hardware z místního obchodu s hardwarem. Příběhy o blocích, které byly poškozeny nebo zapsány na jiné místo, než bylo zamýšleno, jsou běžné.

Z tohoto důvodu trvá zájem o souborové systémy, které pro data uložená na blokových zařízeních používají kontrolní součty. Místo toho, aby věřil zařízení, že úspěšně uložilo a načetlo blok, může souborový systém porovnat kontrolní součty a být si jistý. Nějaké počítání kontrolních součtů provádějí také paranoidní aplikace v uživatelském prostoru. Říká se, že kontrolní součty v BitKeeperu zachytily mnoho problémů s poškozením; následnické nástroje, jako je git, mají kontrolní součty ve svých datových strukturách hluboko zadrátované. Jestliže disková jednotka poškodí gitový repozitář, uživatel se o tom dozví spíš dříve než později.

Kontrolní součty jsou užitečný nástroj, ale mají jeden malý problém: nesouhlas kontrolního součtu má tendence přijít až ve chvíli, kdy už je příliš pozdě na to, aby se dal nějak využít. V době, kdy si souborový systém nebo program všimnou, že blok na disku není takový, jaký původně byl, původní data mohou být dávno pryč a neobnovitelná. Poškození bloku na disku se ale často stane během procesu přenášení dat k disku; bylo by určitě hezké, kdyby disk sám mohl použít kontrolní součet, aby se ujistil, že (1) data se k němu dostala neporušená a (2) disk sám je nepoškodil.

Za tímto účelem sestavilo několik skupin zabývajících se standardizací schémata pro začlenění kontroly integrity dat přímo do hardwaru samotného. Tyto mechanismy mají obvykle formu přidaných osmi bytů ke každému bloku 512 bytů. Hostitelský systém generuje kontrolní součet, když připravuje blok k zápisu na disk; tento kontrolní součet potom následuje data skrz sérii hostitelských řadičů, RAID řadičů, síť atd., kde hardware při každém kroku kontrolní součet testuje. Kontrolní součet je uložen v datech a když jsou data v budoucnosti čtena, kontrolní součet jde s nimi, opět testován při každém kroku. Výsledkem by mělo být, že problémy s poškozením dat jsou zachyceny okamžitě a způsobem, který umožňuje identifikovat, která komponenta v systému je na vině.

Není potřeba říkat, že tento mechanismus kontroly integrity vyžaduje podporu operačního systému. Od jádra 2.6.27 bude Linux díky Martinu Petersenovi tuto podporu mít, alespoň pro SCSI a SATA disky. Dobře napsaný soubor s dokumentací zahrnutý v patchích integrity dat si představuje tři místa, ve kterých může být prováděno generování a testování: v blokové vrstvě, v souborovém systému a v uživatelskému prostoru. Zdá se, že skutečná ochrana "od začátku do konce" potřebuje ověření v uživatelském prostoru, ale pro teď je důraz na provedení této práce v blokové vrstvě nebo souborovém systému - i když v době psaní tohoto článku neexistují v hlavní řadě žádné souborové systémy, které by měly povědomí o testování integrity.

Ovladače blokových zařízení, která mohou zvládnout data integrity, potřebují registrovat v blokové vrstvě nějaké informace. To se provede naplněním struktury blk_integrity a předáním blk_integrity_register(). Kompletní detaily najdete v dokumentu; ve zkratce struktura obsahuje dva ukazatele na funkce. generate_fn() generuje kontrolní součet pro blok dat a verify_fn() tento kontrolní součet ověří. Také jsou zde funkce, které k bloku připojí značku - vlastnost, kterou podporují některé disky. Data uložená v značce mohou být využita kódem na úrovni souborového systému například k tomu, aby se zajistilo, že blok bude skutečně částí souboru, ke kterému patří.

Bloková vrstva bude v nepřítomnosti souborového systému, který ověřuje integritu, připravovat a testovat data s kontrolním součtem sama o sobě. Za tímto účelem byla rozšířena struktura bio o nové pole bi_integrity, které ukazuje na strukturu bio_vec, která popisuje informaci o kontrolním součtu a dalším úklidu. Standardy o integritě byly naštěstí napsány tak, že umožňují ukládat informace o kontrolních součtech odděleně od dat; alternativou by jinak bylo modifikovat celý linuxový systém správy paměti, aby tuto informaci udržoval. Informace tak jde do oblasti bi_integrity; pro přenos dat na a z disku naráz se používají rozsyp/sesbírej [scatter/gather] DMA operace.

Souborové systémy se schopností řešit integritu, až se objeví, budou moci od blokové vrstvy převzít generování a ověřování kontrolních součtů. Volání bio_integrity_prep() připraví danou strukturu bio pro ověřování integrity; pak bude na souborovém systému, aby generoval kontrolní součet (pro zápisy) a ověřoval ho (při čtení). Také je k dispozici sada funkcí pro správu dat značek; detaily opět vizte v dokumentu.

Rozšířené oddíly

Jednou z více obtěžujících a dlouho existujících nepříjemností v linuxové blokové vrstvě je limit počtu oddílů, které lze vytvořit na jednom zařízení. IDE zařízení jsou schopna zvládnout 64 oddílů, což je obvykle dost, ale SCSI zařízení jich může zvládnout pouze 16, a to je jeden rezervován pro celé zařízení. S tím, jak se tato zařízení zvětšují a aplikace, které mohou těžit z oddělení souborových systémů (například virtualizace), jsou stále populárnější, je tento limit čím dál tím protivnější.

Zajímavé je, že práce potřebná k překonání tohoto problému byla již udělána před několika lety, když byla čísla zařízení rozšířena na 32 bitů. V roce 2004 byla navržena komplikovaná schémata, která rozšiřovala počet oddílů beze změny existujících čísel zařízení, ale tento přístup nebyl nikdy přijat. Mezitím rozšiřující se používání nástrojů jako udev víceméně eliminovalo potřebu kompatibility čísel zařízení; ve většině distribucí již nejsou přetrvávající soubory zařízení.

Když tedy Tejun Heo znovu řešil problém limitu oddílů, neobtěžoval se s žádnými schématy velkého přesouvání. Místo toho se s jeho sadou patchů bloková zařízení prostě přesouvají na nové hlavní číslo zařízení [major device number] a všechna vedlejší [minor] čísla jsou přiřazována dynamicky. To znamená, že žádné blokové zařízení nemá stabilní (mezi booty) číslo; také to znamená, že vedlejší čísla pro oddíly na stejném zařízení nemusí být nutně seskupena. Vzhledem k tomu, že nikdo ve skutečnosti na čísla zařízení v současných distribucích nekouká, nic z toho by nemělo vadit.

Tejunův patch je zajímavé cvičení v postupné evoluci rozhraní směrem ke konečnému cíli s mnoha mezikroky. API, které vidí blokové ovladače, se nakonec mění jen velmi málo. Přibyl nový příznak (GENHD_FL_EXT_DEVT), který disku umožňuje použít rozšířená čísla oddílů; jakmile jsou vyčerpána vedlejší [minor] čísla, která má k dispozici alloc_disk(), čísluje se každý další oddíl v rozšířeném prostoru. Nicméně se zdá, že zamýšleným použitím je nealokovat tradiční vedlejší čísla vůbec - alokování disků voláním alloc_disk(0) a vytvořením všech oddílů v rozšířeném prostoru. Tejunův patch způsobuje, že IDE i sd ovladače alokují struktury gendisk tímto způsobem, takže přesouvají všechny disky na většině systémů do (sdíleného) prostoru rozšířených čísel.

I když moderní distribuce nemají potíže s dynamickými čísly zařízení (a jmény, když jsme u toho), těžko si lze představit, že by taková změna byla v celé uživatelské základně Linuxu zcela bez problémů se správou systému. Distributoři mohou být stále ještě nervózní z trápení se po změně v PATA ovladačích, která změnila jména disků na instalovaných systémech. Proto není zcela jasné, kdy se Tejunovy patche mohou dostat do hlavní řady nebo kdy distributoři začnou jejich funkce využívat. Tlak na možnost mít více oddílů ale pravděpodobně nezmizí, takže tyto patche si svou cestu do jádra mohou najít zanedlouho.

Řešení bezpečnostních problémů v jádře

I ten nejběžnější pozorovatel mailové konference linux-kernel si musel všimnout, že ve stínu flamewaru o firmwarech se také krčí rozvášněná diskuze o řešení bezpečnostních záležitostí. Objevily se také pokusy změnit tuto místní bitvu na mnohakonferenční regionální konflikt. Nalezení správné cesty, jak se potýkat s bezpečnostními problémy, je obtížné pro jakýkoliv projekt a jádro není výjimka. Jestli tato diskuze povede k nějakým změnám, se ještě uvidí, ale přinejmenším nám poskytuje jasný pohled na to, kde jsou neshody.

Tentokrát se diskuze rozhořela v reakci na stabilní aktualizace jádra 2.6.25.10. Oznámení říkalo, že Všem uživatelům jádra 2.6.25 se SILNĚ doporučuje aktualizovat na toto vydání, ale neříkalo proč; žádný z patchů v tomto vydání nebyl označen jako bezpečnostní problém. Jak se tak stává, v této aktualizaci byly opravy spojené s bezpečností; někteří uživatelé jsou rozčílení, že tak nebyly explicitně nazvány. Došli až do bodu, kde obvinili vývojáře jádra z toho, že skrývají bezpečnostní problémy.

Tyto problémy jsou opraveny patchi s relativně neškodně znějící zprávou v popisem commitu (například "x86_64 ptrace: oprava úniku sys32_ptrace task_struct") a uživatelům není sděleno, že to byla bezpečnostní oprava. To je obratem považováno za uvádení uživatelů do nebezpečí, protože (1) neví, že mají aktualizaci aplikovat a (2) nemají jasný obraz o tom, kolik bezpečnostních problémů se v jaderném kódu vynořuje. Takže, jak to řekl "pageexec" (či "PaX Team"):

Obvinění, že jádro se nedrží politiky plného odhalení, má dva aspekty: jaderná vydání nezdůrazňují fakt, že byly opraveny bezpečnostní problémy, a tvrdí se, že zprávy ke commitům zamlžují bezpečnostní opravy. Co se druhého obvinění týče, v určitém ohledu je to pravda, protože Linus připouští, že mění logy commitů, které diskutují bezpečnostní problémy příliš explicitně.

Jeho cíl je jasný: aspoň trochu ztížit život lidem, kteří prohledávají logy commitů ve snaze najít slabiny, které lze zneužít. Lze se dohadovat o tom, jestli tato politika znamená skrývání bezpečnostních problémů, nebo jestli je efektivní v redukci zneužití (a mnoho lidí dalo najevo vůli se dohadovat), ale faktem je, že to je politika, kterou se Linus momentálně řídí. Z jeho pohledu je začlenění opravy zároveň odhalením problémů a není nutné být více explicitní.

Tento pohled se dotýká celého procesu bezpečnostních aktualizací, který je společný pro většinu komunity. Linus nerespektuje žádné politiky embarga nebo zpožděného odhalení a kritizuje "celý bezpečnostní cirkus", který podle jeho mínění dává důraz na špatnou věc:

Kromě toho je často těžké říci, které patche jsou opravdu bezpečnostní opravy. Občas se objevuje tvrzení, že všechny chyby mají vliv na bezpečnost; že se většinou jedná jenom o záležitost nalezení způsobu, jak je zneužít. Takže explicitní označení bezpečnostních oprav přináší riziko, že se odvede pozornost od všech ostatních oprav, z nichž mnohé mohou ve skutečnosti být také bezpečnostní. Proto Linus říká:

Jinak řečeno, aktualizace stabilního jádra vycházejí s patchi, o kterých se ví, že jsou to bezpečnostní opravy. Někteří lidé zjevně věří, že SILNÉ doporučení aktualizace není dostatečné upozornění na tento fakt. Zdá se, že se objevil trend znemožnit explicitní rozeznání bezpečnostních záležitostí ve stabilních vydáních. Přidávání CVE čísel bylo kdysi obvyklé; v sérii 2.6.25 mají tato čísla v changelozích jenom 2.6.25.1, 2.6.25.2 a 2.6.25.5. Vskutku je pravda, že prosté čtení changelogu stabilního vydání neřekne uživatelům, jestli tato vydání opravují relevantní bezpečnostní záležitosti.

Na tuto stížnost je samozřejmě také mnoho odpovědí. Skutečné informace jsou ve zdrojovém kódu a ten je vždycky veřejný. Navíc není pravděpodobné, že by pro většinu uživatelů byly opravy ve stabilních sériích tak relevantní; používají jádra od distributorů, která jsou mnoho měsíců za -stable sérií a která mohou (nebo nemusí) být specifickým problémem postižena. Uživatelé, kteří jsou znepokojeni bezpečnostními otázkami ve svém jádře, mají někoho, na koho se mohou obrátit: na své distributory. Distributoři Linuxu dodržují pravidla odhalování, mají tendence velmi důkladně opravovat známé bezpečnostní problémy a tyto opravy šířit k uživatelům. Co se uživatelů, kteří potřebují dlouhodobou podporu na vysoké úrovni, týče, jsou distributoři, kteří více než ochotně za poplatek takovou službu poskytnou.

Jak je obvyklé, opět se jedná o zdroje. Bylo by hezké, kdyby někdo sledoval proud patchů (dobře přes 100 patchů za den v hlavní řadě) a identifikoval každý, který má bezpečnostní dopady. Tato osoba by pro každý patch mohla zjistit, která verze jádra byla poprvé zranitelností postižena, zajistila CVE číslo a vydala hezky formátovanou zprávu. To je ale obrovská práce a je nepravděpodobné, že by ji někdo dělal bez kompenzace po jakoukoliv dobu. Takže by za to někdo musel platit. A to je ve velkém rozsahu to, co dělají distributoři teď - s hezkým přídavkem, že backportují opravy do jader, která podporují.

Stojí za to poznamenat, že tito distributoři si příliš nestěžovali na to, jak jsou teď řešeny bezpečnostní opravy. Místo toho stížnosti přišly hlavně od správců projektu mimo strom grsecurity, který by z cynického úhlu pohledu mohl těžit ze zviditelnění bezpečnostních problémů linuxového jádra.

Bez ohledu na platnost takového obvinění může být určitá hodnota v tom, že se ptají. Je dobré mít jasný náhled na to, jaké jsou v kusu kódu bezpečnostní problémy. I kdyby nic jiného, pomáhá to projektu porozumět, kde se nachází s ohledem na bezpečnost a jestli se věci zlepšují nebo zhoršují. Bylo by tedy hezké, kdyby byli jaderní vývojáři o něco pečlivější a organizovanější v tom, jak sledují bezpečnostní záležitosti, stejně jako se během několika posledních let zlepšilo sledování regresí. Takové vylepšení se ale neobjeví, dokud se někdo nerozhodne dát si tu práci. Skutečné věnování času dokumentování jaderných bezpečnostních záležitostí by bylo mnohem užitečnější než stěžování si v mailových konferencích.

Jaderné bezpečnostní problémy: Reakce

Rád bych se pokusil objasnit některé body ve článku "Řešení bezpečnostních problémů v jádře" od Jonathana Corbeta.

Především musím říci, že mluvím pouze za sebe, ne za druhou polovinu Linux -stable týmu Chrise Wrighta, který se mnou může naprosto nesouhlasit, ne za další jaderné vývojáře, kteří pomáhají s aliasem security@kernel.org, ne za svého současného zaměstnavatele Novell. Také prosím vezměte na vědomí, že veškerý vývoj ve -stable dělám ve svém volném čase a není to žádnou součástí mé stávající práce.

To by bylo. A teď: Mám námitky k několika věcem uvedeným v původním článku:

V mnoha případech, kdy děláme vydání -stable, nejsou pro některé s "bezpečností" spojené problémy, které opravujeme, CVE čísla vydána. To se stává, když se oprava objeví nejprve v Linusově stromě a pak je forwardována na alias stable@kernel.org s "tohle je potřeba hned vydat" nebo prostě tím, že si lidé uvědomí, že by mělo být alokováno CVE číslo, až později.

A ano, trend je omezit explicitní rozpoznání bezpečnostních záležitostí přesně podle Linusova výroku, ze kterého cituješ.

Tohle se týká toho, kdo jsou uživatelé -stable sérií jádra. Osobně to vidím tak, že tato jádra jsou pro dvě různé skupiny lidí:

• Pro ty, kteří se chtějí držet nejnovějšího jádra z kernel.org a nespoléhají na verze jádra z distribuce.
• Pro distribuce, které na nich zakládají svá vydání a ze kterých si vybírají patche.

První skupina by měla vždy aktualizovat na nejnovější verzi -stable, protože spoléhají na to, že -stable tým jim vždy poskytne nejnovější opravy, o kterých ví, že jsou potřeba. Jednoduché označování věcí značkou "spojené s bezpečností" může být, jak Linus zdůraznil, zavádějící. Záznamy v changelogu by měly všem uživatelům ukázat, co bylo opraveno, a pokud provozují stroj, který ten kód používá, měli by aktualizovat. Je to takhle jednoduché.

Ve skutečnosti jsem se ve vydání 2.6.25.11 snažil přesně toto říci:

Jde to vůbec říct jasněji? Potřebuje uživatel -stable stromu, který musí být technicky kompetentní, aby byl vůbec schopen takovou věc udělat, vědět ještě víc, má-li se rozhodnout, jestli na svém stroji aktualizovat? Zdá se, že lidé jsou rozčileni z toho, že již nepoužívám kouzelná slůvka "bezpečnostní oprava", což je pravda, to už neříkám. Jak poznamenal Linus a další, označování chyb jako "spojených s bezpečností" nepomáhá, obzvlášť když se ne všichni shodnou - nebo dokonce v době vydání ani neví - jestli chyba má dopad na bezpečnost, nebo ne.

Také si všimněte, že toto vydání neodkazuje CVE číslo. To je proto, že v této chvíli ještě není žádné přiřazeno, přestože jsme relevantní skupiny o přiřazení požádali. Nikdy nechci zdržovat vydání čekáním na takové číslo, takže je v budoucnu nebudu v -stable vydáních používat, pokud nebudou obsaženy v původním záznamu v changelogu v Linusově stromě.

Druhá skupina, distributoři, se zdá být spokojena s tím, jak jsou v současnosti vedena -stable vydání. Mají možnost vybrat si z oprav, aplikovat je na své starší verze jádra a dodávat je zákazníkům podle toho, jak se jim to zdá vhodné. Všechna distra ví, které věci mají souvislost s bezpečností tím, že znají a rozumí kódu a modelu ohrožení, protože mají vývojáře, kteří řeší takové bezpečnostní záležitosti a dělají to léta.

Ve svém shrnutí tvrdíš:

Myslím si, že jednotliví vývojáři jádra všichni docela dobře ví, kde jsou bezpečnostní problémy s jejich kódem. Toto tvrzení podporuje fakt, že tito vývojáři jsou obvykle ti, kteří dělají opravy a říkají -stable týmu, že specifický patch je potřeba vydat.

Zdá se, že to, co požaduješ, je způsob, jak klasifikovat chyby a opravy v jaderném stromě jako "spojené s bezpečností", nebo ne. A tím se vracíme k původnímu Linusovu tvrzení. Zkusit tohle dělat znamená opomíjet chyby, které takto označené nejsou, s tím, že to nemá cenu. Nicméně, jestli se najde někdo, kdo by pro jadernou komunitu chtěl tu práci dělat a časem se to ukáže jako přínosné, budu první ve frontě těch, kteří řeknou, že se spletli.

Nástroje: Tisk bez diskuse