web-dev-qa-db-ja.com

セキュリティパッチのリリースに関して、主要なLinuxディストリビューションは異なりますか?

非営利ユーザーの場合、セキュリティパッチが利用可能になるまでに必要な時間に関して、主要なディストリビューション間に違いはありますか? 「十分な眼球効果」はこの文脈で起こりますか?

たとえば、いくつかのディストリビューションからのセキュリティパッチの配信速度を比較できるようにする実績など、いくつかの客観的なデータはあるのでしょうか。

  • たとえば、適切な配布では、ほとんどの修正が数時間以内に更新として利用可能になります。
  • 別の側面は、悪いものは重要なパッチを不必要に適用することを困難にするであろう(そしてそれらを自動的にする方法はない)ということです。
3
sevo

あなたの質問は、あるマーケティング部門が 自分のLinuxディストリビューションを賞賛する に使用しているので、良い質問です。

ほとんどの場合、Linuxディストリビューションはパッチの作成者ではありません。名前が示すように、それらは単なる配布であり、それ以外の場合は既存のコンテンツです。

  1. セキュリティの脆弱性が発見され、ソフトウェア開発チームに非公開で通知されます。
  2. ソフトウェアチームは修正を開発し、それをメインディストリビューションに転送します(修正の複雑さに応じて、さまざまな遅延が発生する可能性があります。このステップでは、問題はソフトウェア開発チームと脆弱性発見者だけが知っています)。
  3. 主なディストリビューションはセキュリティアップデートを生成し、ソフトウェアの作成者を含むすべてが同時に修正をリリースするように調整するため、修正内容を分析してエクスプロイトが開発される前に修正を入手する人の数を最大化します。
  4. さまざまな遅延(多くの場合数日ですが、ソフトウェア開発チームの透明性ポリシーによっては長くなる可能性があります)の後、脆弱性が公開されて文書化されるため、管理者は脆弱な環境と固定環境の動作を比較し、すべての環境が適切に修正されていることを確認できます。

したがって、セキュリティ更新は、ほとんどの場合、配布チームが必要とするアップストリーム更新です。

  • 適用。これには、サポートされているすべてのプラットフォームに必要なすべてのソフトウェアの再コンパイルが含まれます。
  • ディストリビューションの何も壊さないことを確認するためにテストし、
  • パッチをそのまま適用できない場合はカスタマイズし、前の「テスト」ステップに再度進みます。
  • パッチが適切に認定されたら、配布ユーザーにリリースします。

セキュリティアップデートのリリースに関するLinuxディストリビューションの問題は、あなたが言及する「十分な眼球効果」ではありませんが、上流のセキュリティアップデートを事前に計画することができず、ほとんどの開発者が行動するため、これらのステップで利用できる開発者の数はさらに多くなります。自発的根拠。

大規模な有名なディストリビューションには、通常、これで問題はありません。更新を迅速にリリースするために、地球上のどこかで作業し、調整するのに十分な人々が常に存在します(ただし、プロセス全体でさえ、おそらく数日かかるでしょう)あなたが期待しているように見える数時間の代わりに)。ただし、小規模なディストリビューション(または、大規模なディストリビューションからの機密性の高い派生物)の場合、これは実際の問題になることがあります。

したがって、あなたの質問に答えるために、大規模で有名なディストリビューションは、セキュリティ更新プログラムをリリースするまでの応答時間とほぼ同じです(そして非常に優れています)。

ただし、すべての場合において、事前に配布更新ポリシーと手順を読む必要があります。

  • あなたが述べたように、異なるディストリビューションは異なるニーズに適応した異なるアップデート手順を持っているかもしれません。あなたの質問に表示されているように、バイナリ更新は適用が迅速であるためより安全であると見なしますが、他の人はソースコードの差分を検査できるためより安全であると見なします。

  • ディストリビューションが異なれば、ライフサイクルも異なります。 6か月または12か月ごとに完全なシステムアップグレードが必要な場合もあります。以前のバージョンのアップデートは提供されていません。いくつかは、数年をカバーするより長い期間の更新を提供し、おそらく現在のリリースと1つ以上の以前のリリースの両方をカバーします。一部のディストリビューションは、Long-Term-Support(LTS)ベースに依存しています。一部のリリースにはLTSのフラグが付いているため、そうでないリリースよりも長い期間アップデートが取得されます。ついに、いくつかのディストリビューションはローリングアップデートの原則に依存しています。時間とともに進化する単一のリリースがあり、インストールされているすべての製品は常に最新バージョンですが、アップデートには手動の設定変更が必要になる場合があります。

この違いは重要です。安定したセキュリティ更新プログラムでは、パッチの適用後に手動で構成を変更する必要はありませんが、システム全体のアップグレード後に必要な変更の量は、控えめに言っても相当な量になる可能性があります。したがって、最新の機能を利用できない場合でも、同じバージョンをより長期間保持することを好む人もいれば、最新の機能を利用するために最新のリリースにアップグレードすることを好む人もいます。仕事(これは主に個人ユーザーにのみ当てはまります。企業ユーザーは通常、より長いサポート期間に行きます)。

ただし、ビジネスの保険などの深刻な保証が必要な場合は、商用サポートされているLinuxディストリビューションを選択する必要があります。

  • アップデートの配信は、慈善活動に依存することはなくなり、有給の従業員に依存します。
  • Linuxディストリビューションプロバイダーは、問題が発生した場合の責任を負います。
  • 更新アプリケーションを支援する専門的なサポートの恩恵を受けるでしょう(セキュリティ更新を利用できるようにするのは良いことですが、環境が壊れた場合はどうなりますか?)。
6
WhiteWinterWolf