Questa è probabilmente più una domanda di conformità, quindi se c'è un posto migliore da chiedere, faccelo sapere.
Sfondo:
È una storia lunga e complessa, ma non possiamo aggiornare facilmente i nostri kernel linux a causa dell'uso non ottimale di software di terze parti e sistemi di gestione della configurazione. È stato suggerito di utilizzare KernelCare per correggere 30k dei nostri kernel dei server.
Disponiamo di dati riservati sensibili, sistemi PCI e molto altro. Siamo controllati su base regolare da più parti esterne.
Dichiarazione del problema:
Anche se riesco a trovare migliaia di siti che raggirano l'uso di questo strumento, non riesco a trovare alcun sito che faccia riferimento a venditori di sistemi operativi, manutentori del kernel linux upstream, organizzazioni di pen-test di sicurezza o altre fonti autorevoli che potrebbero suggerire che questo è riconosciuto come un metodo valido per rattoppare i kernel e che non introduce ulteriori rischi. Inoltre, non riesco a trovare alcuna validazione da parte di terzi del loro strumento che conferma che in realtà risolve tutte le vulnerabilità e non introduce nuovi vulns o backdoor.
Domanda
Oltre a dire "no"; di cui sono perfettamente in grado, qualcuno è passato all'esercizio della convalida di questo metodo di patching e in particolare KernelCare ? In tal caso, quali sono le fonti che hai fornito ai tuoi clienti e auditor?