Che cos'è KSPP ? Ho visto che è rispetto a e ho chiamato un concorrente di Grsecurity, ma non riesco a trovare una patch o un repository Git da scaricare.
È solo un'idea / manifesto o qualcosa di reale, con una patch / repository concreta da scaricare (anche se incompiuta)? Ci sono programmatori che si definiscono parte del team KSPP? O forse la maggior parte dei risultati della manodopera di KSPP viene costantemente aggiornata, quindi non c'è bisogno di patch separate?
KSPP non è un concorrente. È un progetto per ottenere funzionalità di sicurezza migliorate nel kernel Linux, finanziato dall'iniziativa Core Infrastructure . Grsecurity, d'altra parte, è una patch di sicurezza per Linux prodotta da Open Source Security, Inc . Grsecurity è implementato come una serie di modifiche al codice sorgente del kernel, così come i plugin GCC che migliorano la sicurezza. Non ci sono patch KSPP da scaricare perché tutti i miglioramenti sono stati aggiornati. In molti casi, le idee per i miglioramenti provengono direttamente dall'ultima patch di grsecurity disponibile. Ad esempio, grsecurity ha scritto una mitigazione dell'overflow del conteggio dei riferimenti ad alte prestazioni. KSPP ha provato a implementarlo da sé, ha scoperto che la performance era terribile e invece ha preso la versione di grsecurity, l'ha leggermente modificata e la include in Linux upstream. Ora a monte ha (di base) la protezione del refcount.
In termini di sicurezza, grsecurity è molto più avanti di KSPP. Questo è in parte dovuto al fatto che grsecurity è disposto a correre dei "rischi" che gli sviluppatori del kernel Linux non vogliono prendere (ad es. Usando la segmentazione x86), ma anche semplicemente perché gli sviluppatori di grsecurity sono significativamente più focalizzati sulla sicurezza, senza i limiti degli sviluppatori ritengo che i bug di sicurezza siano peggiori di un altro bug. Il principale (solo?) Vantaggio di KSPP rispetto a grsecurity attualmente è che i miglioramenti della sicurezza determinati da KSPP sono resi pubblici, al contrario di grsecurity che (attualmente, almeno) è disponibile solo per i clienti.
A causa di una complicata serie di eventi, Brad Spengler (sviluppatore di grsecurity) ha avuto frequenti file con gli sviluppatori Linux, e in particolare con KSPP. Li vede plagiare il suo lavoro e lo vedono come un attacco inutile. Se questo è vero o no è irrilevante per il confronto.
In sintesi
Leggi altre domande sui tag linux kernel grsecurity