Gentoo Developers عنوان الأسئلة في جلسة AMA

مؤسسة جنتو

استضافت مجموعة من Gentoo Developers المجهزة بوسائل التواصل الاجتماعي جلسة AMA على Reddit اليوم ، ولم يخجلوا من الرد على الأسئلة الصعبة. كان العديد من هذه الأمور مرتبطًا بقضايا الأمان ، ويعتقد أنه يجب ملاحظة أن Gentoo Linux تتمتع بالفعل بسمعة طيبة في كونها متقدمة على اللعبة عندما يتعلق الأمر بالتحديثات الأمنية.

يتميز التوزيع بجدول إصدار متجدد أسبوعي يضمن أن الغالبية العظمى من المستخدمين يستخدمون حزمًا محدثة في جميع الأوقات. كانت إحدى المشكلات التي تم طرحها هي ما قد يحدث إذا احتوت شفرة المصدر لحزمة شائعة على نوع من طروادة. قد يتذكر مستخدمو Linux منذ فترة طويلة أن شفرة مصدر خادم UnrealIRCd تحتوي على باب خلفي في مرحلة ما ، على الرغم من أن المطورين قاموا بتصحيح المشكلة بمجرد اكتشافها.

نظرًا لأن Gentoo يجمع شفرة المصدر محليًا وفقًا لتفضيلات المستخدم ، فلن يتم اختراقها عادةً كنتيجة لثنائي متصدع. ومع ذلك ، قد تكون هناك مشكلة إذا تم اختراق حزم المصدر بطريقة ما.

وفقًا لخبراء الأمن في Gentoo ، لا يوجد سوى عدد قليل من الطرق المحتملة لحدوث ذلك. إذا احتوى مستودع المنبع لجزء من شفرة المصدر على حصان طروادة ، فسيكون من الصعب الإمساك به في اتجاه مجرى النهر. سيؤثر هذا النوع من مشاكل أمان Linux على العديد من التوزيعات وليس فقط Gentoo.

إذا تم تبديل ملف tar في مكان ما أسفل الخط ، فلن يهم ما إذا كان مصدر المنبع نظيفًا. ومع ذلك ، فإن استخدام OpenPGP للتوقيع على الإصدار قبل إضافته إلى مستودع ebuild في Gentoo جنبًا إلى جنب مع فحص المجاميع الاختبارية يساعد على ضمان ألا تكون هذه مشكلة في معظم المواقف.

ساعدت تعليقات AMA أيضًا في توضيح بعض الأساليب الأخرى المستخدمة لمنع حدوث هذا النوع من الأشياء. عند إضافة الدفعات أو الالتزامات إلى المستودع ، يتم توقيعها بواسطة المطورين. من خلال تنفيذ منطقة التدريج الرئيسية لـ rsync لتكثيف الالتزامات ثم إضافتها إلى MetaManifest الموقعة أيضًا ، أصبح تدوير المفتاح بسيطًا إلى حد ما بالنسبة للمطورين.

يوجد تركيز متجدد على مشكلات أمان Linux في جميع التوزيعات الرئيسية تقريبًا ، ولكن يبدو بالتأكيد من هذه التعليقات أن Gentoo قد قطعت شوطًا إضافيًا لضمان سلامة تنفيذها.