grsecurityパッチがなぜVanillaカーネルに含まれていないのですか?
grsecurityパッチ(またはそれがもたらすセキュリティ機能)がデフォルトでカーネルに含まれていない理由は何ですか。セキュリティの利点を見ると、バニラカーネルはそのままではかなり安全ではないようです。
これがトレードオフである場合(セキュリティ対策を回避する必要がある一部のアプリケーション)、grsecurityはVanillaカーネルで有効にするオプションになる可能性があるようです。
主流のバニラカーネルには非常に多くのものがあり、コミュニティがgrsecurityを含めたくない理由を理解するのに苦労しています。
(私はgrsecurity開発者です。)
jsbillings's answer は LWNの記事 で説明されている電子メールの投稿に基づいています。
ここで重要なのは、grsecurityもPaX開発者もそのメーリングリストの議論に関与していないということです。 LWN記事に対するPaXチームのコメントは、これを明確にします。メインラインに含めるパッチを提出したことはありません。単純な理由の1つは、私たちがアップストリームで解決できないアイデアと実装を持っているということです。さらに、非常にセキュリティに強い開発者のグループとの面倒なメーリングリストの議論に従事する必要があります(この詳細については、 my 2012 H2HCプレゼンテーション を参照してください)。私たちは時間とリソースに限りがあるため、可能な限り最も効果的な方法でそれを使うことを選択します。明日のセキュリティテクノロジーを作成し、誰もが無料で利用できるようにすることです。 PaXチームがコメントで言及しているように、私たちはセキュリティに関する特定の包括的見解を持っているため、個々の機能の分割とアップストリームに多くのメリットがあるとは考えていません。
Grsecurity開発者は 過去の問題 をもって、Linusにカーネルへの変更を受け入れるよう説得しているようです。問題は次のようです:
- コードの巨大な塊を提出し、それをバラバラにしない
- Linusは多くの変更を「非常識」と考えています。これはおそらく、Linusの将来の開発計画では機能しないという言い方です。