لا تقلق! إنها فقط 60 نشرة أمنية لـ CVE في لينكس أسبوعيًا
هونغ كونغ: في مؤتمر Open Source Summit China، يرغب Greg Kroah-Hartman، مسؤول الصيانة لنواة لينكس المستقرة، في أن يعرف الجميع أن فريق أمان لينكس يصدر في الأسبوع الواحد حوالي 60 نشرة أمنية لمشاكل الثغرات المعروفة باسم Common Vulnerabilities and Exposures (CVE). لا تقلق، هذا جزء من حياة لينكس.
ولكن أولاً، دعونا نتحدث قليلاً عن لينكس وCVEs. لينكس هو النظام الذي يدير العالم. إنه موجود في هاتفك الأندرويد؛ في وحدة تكييف الهواء الخاصة بك؛ يدير الويب، ويشغل أجهزة الكمبيوتر العملاقة؛ والسحابة؛ وربما حتى حاسوبك الشخصي. نعم، حتى أجهزة الآيفون تستخدمه في تشغيل تقنيات 4G و5G.
CVEs تتعقب مشاكل أمان البرمجيات في العالم. بالنسبة لـCVE، أو على الأقل في لينكس، هذا يعني مشاكل توقف النظام تمامًا. فقدان البيانات بسبب خلل؟ ليس CVE. التحديث الأخير جعل حاسوبك بطيئًا؟ لا، ليس CVE. قتل خادمك كما يُقتل خطأ بضربة على الزجاج الأمامي للسيارة؟ الآن نحن نتحدث عن CVE.
في فبراير 2024، تولى فريق تطوير نواة لينكس مسؤولية تخصيص CVEs لنواة لينكس. قاموا بذلك بسبب اللوائح الحكومية الجديدة، مثل تلك الصادرة عن الاتحاد الأوروبي، التي تتطلب من المشاريع مفتوحة المصدر تحمل مسؤولية الثغرات المعروفة.
كما أوضح Kroah-Hartman في ذلك الوقت، “نظام CVE بشكل عام معطل بطرق عديدة… هذه الخطوة هي وسيلة لنا لتحمل المزيد من المسؤولية عن هذا الأمر، ونأمل أن نحسن العملية بمرور الوقت.” كما أنها ضمنت عدم قدرة أي مجموعة أخرى على تخصيص CVEs للينكس دون أن يكون لمطوري لينكس رأي في الأمر.
هل 60 نشرة أمنية أسبوعيًا بشأن مشاكل يمكن أن توقف حاسوبك عن العمل شيء يدعو للقلق؟ حسنًا، نعم ولا.
كما أوضح Kroah-Hartman، “لدى نواة لينكس اليوم 38 مليون سطر برمجي. أنت تستخدم جزءًا صغيرًا فقط من هذا. يستخدم حاسوبي المحمول حوالي مليون ونصف سطر برمجي. هاتفك، وهو أكثر الأجهزة تعقيدًا، يستخدم حوالي 4 ملايين سطر برمجي. لذا، من كل شيء، أنت تستخدم جزءًا صغيرًا فقط، لكن الجميع يستخدم جزءًا مختلفًا، وهذا شيء مهم أن نتذكره.”
فريق نواة لينكس ليس لديه فكرة عن الجزء الذي تستخدمه في منتجك. مهمتهم هي إنتاج الكود الأساسي الذي يستخدمه الجميع، وكل منهم مع تكويناته الفريدة وحالات الاستخدام.
ونقل Kroah-Hartman عن Ben Hawkes، خبير أمان الكمبيوتر، الذي لخص الوضع بقوله: “CVE لا يقوم بعمل جيد في التقاط هذه التفاصيل الدقيقة لنظام نواة لينكس. من الصعب التقاط حقيقة أن الخلل يمكن أن يكون خطيرًا جدًا في نوع معين من التوزيع، مهمًا نوعًا ما في آخر، أو لا يشكل مشكلة على الإطلاق — ويمكن أن يكون الخلل كل هذا في نفس الوقت. تصحيح الثغرات أمر صعب.”
هذا هو السبب في وجود الكثير من CVEs التي تصدر بوتيرة سريعة. لأن هناك العديد من الأنظمة المختلفة وحالات الاستخدام، يمكن أن يكون أي خلل ثغرة أمان. كما قال Linus Torvalds ذات مرة، “مشاكل الأمان هي مجرد أخطاء.”
وفي الختام، نصيحة Kroah-Hartman للحفاظ على أمان نظامك – سواء كان سيارة أو 10,000 خادم في مركز بيانات – بسيطة. قاعدته هي “إذا كنت لا تستخدم أحدث نظام نواة مستقر/طويل الأجل، فإن نظامك غير آمن.”
بمعنى آخر، قم بتحديث نواة لينكس الخاصة بك بشكل منتظم. قد يبدو الأمر مخيفًا، لكن هذه هي الطريقة الوحيدة للحفاظ على أمان نظامك في عالم يتغير بسرعة.
إرسال التعليق
يجب أنت تكون مسجل الدخول لتضيف تعليقاً.