详细内容或原文请订阅后点击阅览
Linux 探索验证开发人员及其代码的新方法 - 以下是其工作原理
Linux 内核维护者提出了一种不太痛苦的识别开发人员的过程。了解它如何使 Linux 代码比以往更安全。
来源:ZDNet | 机器人新闻关注 ZDNET:将我们添加为 Google 上的首选来源。
ZDNET 的关键要点
加利福尼亚州纳帕 - 用歌曲开发者 Pete Townshend 的不朽名言来说,“好吧,你是谁?(你是谁?谁,谁,谁,谁?)我真的很想知道!” Linux 内核维护者也有同样的问题:谁是他们的程序员,内核社区如何确定他们提交的代码确实是他们的?
几十年来,Linux 内核开发人员使用 Pretty Good Privacy (PGP) 来识别开发人员及其发布工件。Git 的 PGP 集成启用签名标签来验证代码存储库完整性并签名提交,以防止黑客冒充合法开发人员。
另外:最新的 Linux 内核版本结束了 6.x 时代 - 这是送给云管理员的礼物
2011年,黑客成功破解了主要的Linux开发网站kernel.org。随后,为了确保这种情况不再发生,内核的 PGP 信任网络在 2011 年内核峰会期间的面对面密钥签名会议上被明确“引导”。
最近,xz 实用程序被恶意开发人员破坏,几乎导致恶意软件感染 Linux。
痛苦的过程
如今,想要 kernel.org 帐户的内核维护人员必须找到已经在 PGP 信任网络中的人员,与他们面对面交流,出示政府 ID,并获得他们的密钥签名。这个过程就像手动的全球寻宝游戏。 Linux 内核维护者 Greg Kroah-Hartman 在 Linux 基金会成员峰会上发表讲话,将其描述为“执行和管理的痛苦”。这是因为它是通过手动脚本跟踪的,密钥已经过时,而且公开的“谁住在哪里”地图会造成隐私和社会工程风险。
另外:这个后门几乎感染了 Linux 各处:XZ Utils 千钧一发