Jakie są powody, dla których grsecurity
łatki (lub funkcje bezpieczeństwa, które przynosi) nie są domyślnie dołączane do jądra. Patrząc na korzyści dla bezpieczeństwa, wydaje się, że jądro wanilii jest dość niepewne.
Jeśli jest to kompromis (niektóre aplikacje, w których chcesz uniknąć środków bezpieczeństwa), wydaje się, że grsecurity
można włączyć opcję w jądrze wanilii.
Mając tak wiele rzeczy w głównym jądrze wanilii, trudno mi zrozumieć powody, dla których społeczność nie chce uwzględniać grsecurity
.
linux
kernel
grsecurity
ludzkośćANDpeace
źródło
źródło
Odpowiedzi:
(Jestem programistą grsecurity.)
Odpowiedź jsbillings oparta jest na wiadomości e-mail omówionej w artykule na LWN .
Ważnym kontekstem jest to, że ani grsecurity, ani programiści PaX nie byli zaangażowani w dyskusję dotyczącą listy mailingowej. Komentarz zespołu PaX do artykułu LWN wyjaśnia to. Nigdy nie przesłaliśmy łatek do włączenia głównego. Jednym prostym powodem jest to, że to my mamy pomysły i wdrożenia, których upstream nie rozwiązałby. Co więcej, musielibyśmy angażować się w męczące kłótnie z listą programistów z grupą programistów, którzy są bardzo przeciwni bezpieczeństwu (patrz moja prezentacja H2HC 2012więcej dyskusji na ten temat). Mamy ograniczony czas i zasoby, dlatego wybieramy spędzanie go w najbardziej efektywny możliwy sposób: tworzenie technologii bezpieczeństwa jutra i udostępnianie jej wszystkim za darmo. Jak wspomina zespół PaX w swoim komentarzu, mamy szczególny pogląd na bezpieczeństwo, a zatem nie wierzymy, że rozdzielenie i upstream poszczególnych funkcji ma wiele zalet.
źródło
Wygląda na to, że programiści grsecurity mieli w przeszłości problemy z przekonaniem Linusa do zaakceptowania zmian w jądrze. Problemami wydają się być:
źródło