Security
強化編譯器標誌 VS 自動安全更新檔?
我注意到我的作業系統的長期支持儲存庫中的一些精選軟體尚未使用PIE或立即綁定(例如)進行編譯。
在伺服器故障的那些人看來,使用 GCC 中的安全感知標誌和功能重新編譯這些選定的軟體會更安全嗎?還是更重要的是讓軟體從上游儲存庫中盡可能保持最新,在他們編譯包時相信他們的**決定?
當然,“兩者”可能是首選答案。但實際上,我仍然沒有嘗試重新編譯任務關鍵型應用程序的唯一原因是,我必須隨後將定制建構的 DEB 包置於保留狀態(在包管理器中)這樣自定義建構不會在我不知情的情況下被未來的包更新覆蓋。
這樣,我必須評估更新的重要性或安全性。如果需要,從原始碼、軟體包重建並安裝所述更新-
簡而言之,定制編譯的好處是否超過了按需安全更新檔的好處?有什麼建議麼?
附帶說明;包維護者通常負責在啟用某些安全標誌(例如 PIE)的情況下進行編譯嗎?或者這通常是在上游儲存庫(即 Debian/Ubuntu 發行版維護者)的心血來潮完成的?這會影響我的決定嗎?
Debian 項目的發布目標是“通過 dpkg-buildflags 更新盡可能多的軟體包以使用安全強化建構標誌”。這個任務什麼時候完成,在他們的wiki中沒有說明。因此,要回答您的一個問題,這是在發行版級別做出的決定,維護人員需要實施。如您所知,就 Debian 而言,維護者是志願者。
如果這是純粹的安全問題,您不妨聯繫這些包的維護者,或針對他們填寫錯誤報告,最好是提供更新檔。
如果這是一個商業決策,您需要考慮在重新編譯、打包和分發這些軟體之前所花費的時間,直到它們在您的發行版中得到修復,或者使用已經實施了這些安全措施的另一個發行版。