Los desarrolladores de Gentoo abordan las preguntas en la sesión de AMA

Los desarrolladores de Gentoo abordan las preguntas en la sesión de AMA

Linux-Unix / Los desarrolladores de Gentoo abordan las preguntas en la sesión de AMA 1 minuto de lectura

Fundación Gentoo

Un grupo de desarrolladores de Gentoo equipados con redes sociales organizó una sesión de AMA en Reddit hoy y no rehuyeron responder preguntas difíciles. Muchos de estos estaban relacionados con problemas de seguridad, aunque debería tenerse en cuenta que Gentoo Linux ya tiene la reputación de estar a la vanguardia en lo que respecta a actualizaciones de seguridad.

La distribución presenta un programa de lanzamiento continuo semanal que asegura que una gran mayoría de usuarios estén usando paquetes actualizados en todo momento. Un problema que se planteó fue qué podría pasar si el código fuente de un paquete popular contuviera algún tipo de troyano. Los usuarios de Linux desde hace mucho tiempo pueden recordar que el código fuente del servidor UnrealIRCd contenía una puerta trasera en un momento, aunque los desarrolladores corrigieron el problema tan pronto como lo detectaron.



Dado que Gentoo compila el código fuente localmente según las preferencias del usuario, normalmente no se vería comprometido como resultado de un binario descifrado. Sin embargo, puede haber un problema si los paquetes fuente se vieron comprometidos de alguna manera.

Según los expertos en seguridad de Gentoo, solo hay algunas formas posibles de que esto suceda. Si el repositorio ascendente de algún fragmento de código fuente contuviera un troyano, sería difícil detectarlo descendente. Este tipo de problema de seguridad de Linux influiría en muchas distribuciones y no solo en Gentoo.

Si un archivo tar se intercambia en algún lugar de la línea, entonces no importaría si la fuente ascendente estaba limpia. Sin embargo, usar OpenPGP para firmar la versión antes de que se agregue al repositorio de ebuilds en Gentoo junto con la inspección de las sumas de verificación ayuda a garantizar que esto no debería ser un problema en la mayoría de las situaciones.

Los comentarios de la AMA también ayudaron a aclarar algunos otros métodos utilizados para evitar que suceda este tipo de cosas. Cuando se agregan envíos o confirmaciones a un repositorio, los desarrolladores los firman. Al implementar un área de preparación de rsync maestra para espesar las confirmaciones y luego agregarlas a un MetaManifest que también está firmado, la rotación de claves se ha vuelto bastante simple para los desarrolladores.

Un énfasis renovado en los problemas de seguridad de Linux está presente en casi todas las distribuciones principales, pero ciertamente parece de estos comentarios que Gentoo ha hecho un esfuerzo adicional para garantizar la seguridad de su implementación.

Etiquetas Seguridad de Linux