Безопасность пакетов Ubuntu контролируется?

Существуют несколько 'карманы' в Архивах Ubuntu , которые представляют различные типы поддержки: пакеты в main поддерживаются Каноническим, в то время как пакеты в universe поддерживаются сообществом.

Пакеты должны быть в основном, чтобы быть в установках по умолчанию Ubuntu.

Во время разработчиков цикла разработки может предлагать пакеты для включения в основной . Часть этого процесса определяет, может ли пакет быть релевантной безопасностью (например, работать с полномочиями, но взаимодействовать с недоверяемыми пользователями, проанализировать сложные форматы, и т.д.), и если так, просит Служба безопасности Ubuntu работать быстрый обзор безопасности . Я делаю многие из этих обзоров.

я не могу дать каждому предложенному пакету полный всесторонний аудит. Я надеюсь быстро учиться, разработан ли пакет, кажется, был профессионально с современными безопасными стандартами программирования.

Мы осматриваем двоичные выходы, чтобы удостовериться, что скомпилировал программы, и библиотеки были скомпилированы с смягчение стандартной защиты как Положение, Независимая поддержка Выполнения лучшей Рандомизации Расположения Адресного пространства, Стек Канарские острова, Укрепляет Источник (ловит горстку общих проблем C), и Свяжите Теперь, и RELRO (смягчает использование, которое злоупотребляет символом, связывающимся). (У нас есть смягчение для дефекта Столкновения Стека, включенного, а также поддержка Проверок целостности Потока управления Intel в некоторых более новых процессорах, но стабилизирующая проверка еще не знает, как проверить на тех.) Мы также проверяем любые правила sudo, udev правила, setuid или setgid биты, упаковочные сценарии, сценарии запуска, и т.д., чтобы удостовериться, что пакет не имеет неожиданных источников полномочия.

Мы осматриваем исходный код с автоматизированными сканерами такой как Coverity, cppcheck, и shellcheck. Мы записали простые инструменты, чтобы помочь нам определить общие дефекты программирования (эти инструменты не предназначаются, чтобы обнаружить дефекты, но обеспечить очень быстрый способ осмотреть, например, все стандартные программы выделения памяти, все сетевые стандартные программы, все использование привилегированных функций операционной системы, и т.д.), которые позволяют нам быстро просматривать строки кода в пакете, которые, вероятно, будут иметь дефекты.

Мы можем найти дефекты, но что еще более важно мы будем учиться, были ли разработчики правильно защитными когда написание кода. Мы получим чувство для того, как программное обеспечение работает, как оно было разработано, и какую угрозу моделируют, авторы имеют в виду.

Мы иногда выполняем fuzzing. (Выполнение fuzzing является легким (и забава) часть - для вытаскивания любого значения из этого, катастрофы также должны быть расследованы достаточно далеко для фиксации их. Это - дорогая часть. Я хотел бы сделать больше из этого в будущем, но намного более ценное для людей к [1 111], вносят тестирование пуха в проект, который может быть выполнен в пухе oss инфраструктура, и предоставлять результаты непосредственно авторам. То же идет для Coverity - рабочий Coverity непосредственно на каждой фиксации и получении электронных писем, когда новые проблемы добавляются , более ценно, чем сингл "вот является списком проблем найденный Coverity".)

В зависимости от того, что мы находим в аудите, мы можем принять пакет как есть, или мы можем попросить изменения, или мы не можем принять пакет в основное. Некоторые авторы проекта были фантастическими, чтобы работать с и выйти за пределы для обращения к обратной связи. (Почти все авторы проекта рады, что кто-то читает их код и обеспечивает обратную связь.)

Все эти шаги являются одноразовыми задачами, которые определяют, в который пакеты входят основной.

Служба безопасности Ubuntu выполняет ежедневные задачи Медицинской сортировки CVE. у Нас есть база данных CVEs, который мы используем для отслеживания, какие пакеты затронуты, которыми дефектами, в который релизы Ubuntu, который фиксируются версии, где меры могут быть найдены, сопроводительная документация, смягчение, которое может помочь уменьшить важность или влияние проблем и приоритет, который мы будем использовать при определении который пакеты зафиксировать затем. Мы собираем данные от МИТРЫ, NVD, Debian, почтовых списков (общедоступный и частный), и т.д.

, Исследователи в области безопасности и пользователи сообщают о проблемах нам; мы занимаемся расследованиями, как мы можем, и передавать проблемы восходящим разработчикам в надлежащих случаях.

Пакеты в основном получают полную поддержку безопасности: мы бэкпортируем патчи от восходящих авторов, пишем патчи и тестируем пакеты для снижения риска представления регрессий. Мы не можем поймать все регрессии, но наша более широкая перспектива позволяет нам ловить некоторые регрессии, которые могут пропустить восходящие разработчики. Поскольку ограничениям или регрессиям или неполным патчам ищут работу, мы с восходящими разработчиками и более широким сообществом по мере необходимости для улучшения фиксируем.

Пакеты во вселенной общественные поддерживаемый: члены сообщества подготовятся, фиксирует для проблем, создайте пакеты, протестируйте пакеты и дайте нам патчи, чтобы создать и распределить. Мы проверяем подлинность изменений, проверяем упаковочные изменения, создаем новые пакеты и распределяем их. Это действительно, к сожалению, мешает знать то, что хорошо поддерживается и что не. (Мы работаем над этим.) Некоторые наши корпоративные пользователи будут использовать только пакеты от основного, чтобы удостовериться, что они получают поддержку безопасности для своих сред.

Любой может отправить debdiffs для нас для поддержки: откройте ошибку на странице Панели запуска для исходного пакета, отметьте его Общедоступная безопасность, присоедините debdiff, опишите Ваше тестирование и подпишитесь ubuntu-security-sponsors. Подготовка изменений может выглядеть подавляющей сначала, но существует многочисленное сообщество вокруг работы с пакетами Debian, которые могут помочь.

Мы не имеем в распоряжении проект для всесторонних пакетов переаудита, которые уже находятся в основном. Мы читаем много патчей и ищем подобные дефекты в пакетах, а также взгляде на окружение кода, но не повторно рассматриваем пакеты с нуля очень часто.

Мы отправляем наши выпуски LTS для [1 115] FIPS, CC, STIG и СНГ сертификации. Они служат нормативными основами для аудита криптографических и чувствительных к безопасности пакетов с различными стандартами. Сертификации важны для определенных отраслей промышленности. Эта работа влияет и возвращается в распределение. Аудиторы не обязательно ищут дефекты так как соблюдение процесса, минимальных стандартов обеспечения защиты и конфигураций, и т.д. Однако перепроверки правильности на особенно важных пакетах являются жизненным заверением некоторым пользователям.