Gentoo Foundation
En gruppe Gentoo-udviklere, der er udstyret med sociale medier, var vært for en AMA-session på Reddit i dag, og de genede sig ikke fra at stille vanskelige spørgsmål. Mange af disse var relateret til sikkerhedsproblemer, men det skal bemærkes, at Gentoo Linux allerede har ry for at være foran spillet, når det kommer til sikkerhedsopdateringer.
Distributionen har en ugentlig rullende frigivelsesplan, der sikrer, at et overvældende flertal af brugere til enhver tid bruger opdaterede pakker. Et problem, der blev rejst, var hvad der kunne ske, hvis kildekoden til en populær pakke indeholdt en slags trojan. Langvarige Linux-brugere husker muligvis, at UnrealIRCd-serverens kildekode indeholdt en bagdør på et tidspunkt, selvom udviklerne rettede problemet, så snart de fangede det.
Da Gentoo kompilerer kildekoden lokalt i henhold til en brugers præferencer, vil den normalt ikke blive kompromitteret som følge af en revnet binær. Der kan dog være et problem, hvis kildepakker på en eller anden måde blev kompromitteret.
Ifølge Gentoos sikkerhedseksperter er der kun få mulige måder, dette kan ske på. Hvis opstrømsopbevaringsstedet for et stykke kildekode indeholdt en trojan, ville det være svært at fange nedstrøms. Denne form for Linux-sikkerhedsproblem ville påvirke mange distributioner og ikke kun Gentoo.
Hvis en tjærefil blev byttet et eller andet sted nede på linjen, ville det ikke have noget at vide, om kilden opstrøms var ren. Brug af OpenPGP til at underskrive frigivelsen, før den føjes til ebuild-arkivet på Gentoo sammen med inspektion af kontrolsum, hjælper dog med at sikre, at dette ikke burde være et problem i de fleste situationer.
AMA-kommentarerne hjalp også med at afklare nogle andre metoder, der blev brugt til at forhindre denne slags ting i at ske. Når push eller commits føjes til et lager, er de underskrevet af udviklerne. Ved at implementere et master rsync-iscenesættelsesområde for at fortykne forpligter sig og derefter tilføje dem til en MetaManifest, der også er underskrevet, er nøglerotation blevet ret enkel for udviklerne.
En fornyet vægt på Linux-sikkerhedsspørgsmål er til stede i næsten alle større distroer, men det fremgår bestemt af disse kommentarer, at Gentoo har gået en ekstra mil for at sikre sikkerheden ved deres implementering.
Mærker Linux-sikkerhed
