Bezpieczeństwo systemu rolling vs stable

pytanie zadane 30 października 2023 w Systemy operacyjne, programy przez whiteman808 Obywatel (1,840 p.)

Zastanawia mnie jak jest z bezpieczeństwem paczek na systemie rolling versus stable. Weźmy pod lupę takiego debiana stable i debiana sid. Mi się wydaje że to zależy od wielu czynników takich jak bardzo społeczność danej dystrybucji jest aktywna, jaka jest polityka bezpieczeństwa danej dystrybucji, jak często paczuszki są łatane. Może ktoś mnie oświeci jak to jest z tym bezpieczeństwem stable i rolling.

komentarz 30 października 2023 przez manjaro Nałogowiec (37,390 p.)

a Ty system bankowy stawiasz czy co że się martwisz takimi sprawami?

komentarz 30 października 2023 przez whiteman808 Obywatel (1,840 p.)

Kolega mnie pytał o bezpieczeństwo rolling vs release to chcę wiedzieć co mu odpowiedzieć

komentarz 30 października 2023 przez whiteman808 Obywatel (1,840 p.)

Dodam że mnie samego ciekawiła taka kwestia, w kontekście stawiania serwerów

komentarz 30 października 2023 przez manjaro Nałogowiec (37,390 p.)

Myślę że bardziej istotne kwestie należy rozważać np stabilność, wydajność jeśli chodzi o serwery. I tutaj już warto przyjrzeć się różnym dystrybucjom.

Bezpieczeństwo owszem jest najważniejsze, ale w sytuacji jak będziesz posiadał jakieś bardzo cenne dane i pół świata będzie chciało je wykraść. Nie sądzę że spodziewasz się cyberataków z Białorusi czy Rosji.

1 odpowiedź

odpowiedź 30 października 2023 przez Gynvael Coldwind Nałogowiec (27,530 p.)

Trochę rzut monetą ;)

Trzeba wziąć pod uwagę trzy czynniki:

Czy błędy bezpieczeństwa są łatane w miarę szybko?
Z tego co mi wiadomo, to nawet w stable/LTS poprawki na błędy bezpieczeństwa są dostępne bardzo szybko.
Jakie jest prawdopodobieństwo wprowadzenia zmiany niezwiązanej z bezpieczeństwem (np. nowy feature), która wprowadza nieumyślnie nowy błąd bezpieczeństwa?
W stable/LTS nowe ficzery są wprowdzane rzadko, więc ten problem jest tam mniej dolegliwy, niż w przypadku rolling/nightyly/etc.
Jakie jest prawdopodobieństwo wprowadzenia poprawki z backdoorem, tj. takiej dodanej przez złośliwego aktora?
Tu dużo zależy od systemu dystrybucji i tego jak często sam system operacyjny pobiera łatki, i jak często użytkownik pobiera łatki (apt-get upgrade). Problem więc będzie w równym stopniu dotyczył rolling/nightly /etc jak i stable/LTS/etc. W przypadku Debiana/etc problem nie jest aż tak duży jak w przypadku third-party aplikacji.

Z tego co napisałem powyżej wynikałoby, że stable/LTS generalnie powinny być statystycznie bardziej bezpieczne.

Ale powyższe rozważania nie wpływają zupełnie na kwestię 0-dayów ;)