Джереми Эллисон (Jeremy Allison), инженер CIQ, взбудоражил Linux-сообщество критическим анализом «замороженных» ядер Linux от производителей. В недавней записи в блоге Эллисон обратился к утверждениям, что тщательно выверенные исправления в фиксированной ветке ядра повышают безопасность. Однако выводы CIQ опровергают это мнение.
Исследование CIQ, проведенное под руководством инженеров ядра Ронни Салберга и Джонатана Мэйпла, показало, что эти «замороженные» ядра на самом деле более подвержены ошибкам по сравнению со «стабильным» ядром Linux, которым управляет Грег Кроа-Хартман. В подробном документе приводится статистика: RHEL 8.8 имеет 4594 известные ошибки с существующими исправлениями, которые не были перенесены на другие версии. У RHEL 8.6 и 8.7 дела обстоят еще хуже — 5 034 и 4 767 известных ошибок соответственно.
Основные выводы из отчета включают тезисы, что:
Замороженные ядра небезопасны. Они накапливают больше ошибок с течением времени.
Количество ошибок увеличивается с течением времени. Новые ошибки постоянно обнаруживаются и исправляются, но не всегда переносятся обратно в ядра производителей.
Слишком много открытых ошибок. Непрактично классифицировать и исправлять их все.
Анализ показывает, что лучшим подходом к обеспечению безопасности является использование последнего стабильного или долгосрочного ядра непосредственно с сайта kernel.org. Эллисон подчеркивает, что использование последних версий ядра очень важно для поддержания безопасности системы, и это мнение разделяют представитель Google Кис Кук и Кроа-Хартман.
Хотя исследование сфокусировано на RHEL, проблема затрагивает и другие дистрибутивы, такие как SUSE, Ubuntu и Debian.
Источник: www.ferra.ru