Fundacija Gentoo
Skupina razvijalcev Gentoo, opremljenih z družabnimi omrežji, je danes gostila sejo AMA na Redditu in se niso ustrašila postavljanja težkih vprašanj. Mnogi od njih so bili povezani z varnostnimi težavami, zato je treba opozoriti, da ima Gentoo Linux že sloves, da je pred varnostnimi posodobitvami pred igro.
Distribucija vsebuje tedenski tekoči urnik izdaje, ki zagotavlja, da velika večina uporabnikov ves čas uporablja posodobljene pakete. Odprlo se je vprašanje, kaj bi se lahko zgodilo, če bi izvorna koda priljubljenega paketa vsebovala nekakšen trojanski program. Dolgoletni uporabniki Linuxa bi se morda spomnili, da je izvorna koda strežnika UnrealIRCd v nekem trenutku vsebovala zakulisje, čeprav so razvijalci težavo odpravili takoj, ko so jo ujeli.
Ker Gentoo lokalno sestavi izvorno kodo v skladu z uporabnikovimi preferencami, običajno ne bi bila ogrožena zaradi razpokane binarne datoteke. Vendar lahko pride do težave, če so izvorni paketi nekako ogroženi.
Po mnenju Gentoovih varnostnih strokovnjakov obstaja le nekaj možnih načinov, kako bi se to lahko zgodilo. Če bi repozitorij za določen del izvorne kode vseboval trojanca, bi ga bilo težko ujeti v smeri toka. Tovrstni varnostni problem Linuxa bi vplival na številne distribucije in ne le na Gentoo.
Če bi se tar datoteka zamenjala nekje po vrstici, potem ne bi bilo pomembno, ali je bil zgornji vir čist. Vendar pa uporaba OpenPGP za podpis izdaje, preden se doda v repozitorij ebuild pri Gentoo, skupaj s pregledom kontrolnih vsot pomaga zagotoviti, da to v večini primerov ne bi smelo biti težava.
Pripombe AMA so pripomogle tudi k razjasnitvi nekaterih drugih metod, ki se uporabljajo za preprečevanje takšnih stvari. Ko so v skladišče dodani potiski ali prevzemi, jih podpišejo razvijalci. Z izvajanjem glavnega rsync uprizoritvenega območja za zgostitev prevzemov in njihovo dodajanje v MetaManifest, ki je prav tako podpisan, je razvijanje ključev za razvijalce postalo precej preprosto.
Prenovljeni poudarek na varnostnih vprašanjih Linuxa je prisoten v skoraj vseh večjih distribucijskih sistemih, vendar se iz teh komentarjev vsekakor vidi, da je Gentoo naredil vse, da bi zagotovil varnost njihovega izvajanja.
Oznake Varnost Linuxa
