जेंटू फाउंडेशन
सोशल मीडिया से सुसज्जित गेंटू डेवलपर्स के एक समूह ने आज रेडिट पर एएमए सत्र की मेजबानी की, और वे कठिन सवालों से दूर रहने में शर्मिंदा नहीं हुए। इनमें से कई सुरक्षा मुद्दों से संबंधित थे, सोचा कि यह ध्यान दिया जाना चाहिए कि जब सुरक्षा अद्यतन की बात आती है तो जेंटू लिनक्स के पास पहले से ही खेल के लिए एक प्रतिष्ठा है।
वितरण में एक साप्ताहिक रोलिंग शेड्यूल की सुविधा है जो यह सुनिश्चित करता है कि अधिकांश उपयोगकर्ता हर समय अप-टू-डेट पैकेज का उपयोग कर रहे हैं। एक मुद्दा जो लाया गया था वह तब हो सकता है यदि किसी लोकप्रिय पैकेज के स्रोत कोड में किसी प्रकार का ट्रोजन होता है। लंबे समय तक लिनक्स उपयोगकर्ता याद रख सकते हैं कि अवास्तविक सर्वर के स्रोत कोड में एक बिंदु पर एक पिछले दरवाजे थे, हालांकि डेवलपर्स ने इसे पकड़ते ही समस्या को ठीक कर दिया।
चूंकि Gentoo एक उपयोगकर्ता की वरीयताओं के अनुसार स्थानीय रूप से स्रोत कोड संकलित करता है, इसलिए यह आमतौर पर एक दरार बाइनरी के परिणामस्वरूप समझौता नहीं होगा। हालाँकि, समस्या हो सकती है यदि स्रोत पैकेज किसी तरह समझौता किए गए थे।
गेंटू के सुरक्षा विशेषज्ञों के अनुसार, केवल कुछ ही संभव तरीके हैं जो ऐसा हो सकता है। यदि स्रोत कोड के कुछ टुकड़े के लिए अपस्ट्रीम रिपॉजिटरी में ट्रोजन होता है, तो डाउनस्ट्रीम को पकड़ना मुश्किल होगा। इस तरह की लिनक्स सुरक्षा समस्या कई वितरणों को प्रभावित करती है और केवल गेंटू को नहीं।
यदि एक टार फाइल लाइन के नीचे कहीं स्वैप हो जाती है, तो अपस्ट्रीम स्रोत साफ होने पर कोई बात नहीं होगी। हालाँकि, Gentoo में पुनर्निर्माण रिपॉजिटरी में शामिल होने से पहले रिलीज़ पर हस्ताक्षर करने के लिए OpenPGP का उपयोग करने के साथ-साथ चेकसम का निरीक्षण करने से यह सुनिश्चित करने में मदद मिलती है कि यह अधिकांश स्थितियों में एक मुद्दा नहीं होना चाहिए।
एएमए टिप्पणियों ने इस तरह की चीज को होने से रोकने के लिए इस्तेमाल किए गए कुछ अन्य तरीकों को स्पष्ट करने में भी मदद की। जब पुश या कमिट एक रिपॉजिटरी में जोड़े जाते हैं, तो वे डेवलपर्स द्वारा हस्ताक्षरित होते हैं। लागू करने के लिए एक मास्टर rsync मंचन क्षेत्र को गाढ़ा करने के लिए लागू करने के बाद, उन्हें एक मेटामाईफेस्ट में जोड़ा जाता है जो हस्ताक्षरित है, डेवलपर्स के लिए कुंजी रोटेशन बल्कि सरल हो गया है।
लिनक्स सुरक्षा मुद्दों पर एक नया जोर लगभग सभी प्रमुख विकृतियों में मौजूद है, लेकिन यह इन टिप्पणियों से निश्चित रूप से प्रकट होता है कि जेंटू अपने कार्यान्वयन की सुरक्षा सुनिश्चित करने के लिए अतिरिक्त मील चला गया है।
टैग लिनक्स सुरक्षा
