Модуль 8: Безопасность пакетов
Проверка источников, hardening-флаги, реагирование на CVE.
Безопасность — не опциональная функция, а обязательная часть работы мейнтейнера. Плохо собранный пакет может содержать уязвимости, которые затронут всех пользователей репозитория.
Цели модуля
После изучения этого модуля вы будете:
- Проверять подлинность и целостность исходников
- Понимать, какие флаги компиляции защищают от уязвимостей
- Знать, как реагировать на CVE
- Уметь обращаться с bundled-зависимостями безопасно
Содержание модуля
-
Проверка источников и подписей GPG-подписи, контрольные суммы, защита от подмены.
-
Hardening: флаги безопасности FORTIFY_SOURCE, PIE, RELRO, stack protector и их применение.
-
Реагирование на CVE Мониторинг уязвимостей, backport исправлений, сроки реакции.
-
Bundled-зависимости и supply chain Почему bundled-библиотеки опасны и как с ними работать.
Почему это важно
| Проблема | Последствие |
|---|---|
| Подменённый архив исходников | Вредоносный код у всех пользователей |
| Отключённый stack protector | Эксплуатируемое переполнение буфера |
| Игнорирование CVE | Известная уязвимость в вашем пакете |
| Старая bundled-библиотека | Уязвимая версия зависимости внутри пакета |
Следующий модуль
После освоения безопасности переходите к Модулю 9: Лицензирование — правовые аспекты упаковки.
Проверка источников и подписей
GPG-подписи, контрольные суммы, защита от подмены исходников.
Hardening: флаги безопасности
FORTIFY_SOURCE, PIE, RELRO, stack protector и их применение в RPM.
Реагирование на CVE
Мониторинг уязвимостей, backport исправлений, сроки реакции.
Bundled-зависимости и supply chain
Почему bundled-библиотеки опасны и как с ними работать.