Sembra esserci un consenso, che
-D_FORTIFY_SOURCE=2 -O1
è una misura di rafforzamento che dovrebbe essere applicata come opzione del compilatore. Questa è stata anche una raccomandazione nel report Pentest di Dovecot .
Ciò di cui sono confuso è che _FORTIFY_SOURCE=2
ha bisogno di un flag di ottimizzazione, nonostante il fatto che - almeno secondo questo bug report - può avere implicazioni sulla sicurezza.
Ho troppa poca comprensione per comprendere la gravità di -O1
sulla sicurezza.
Qualcuno può per favore chiarire perché -O1
è un problema (preferibilmente anche come questo può essere mitigato) o perché questo non è un problema? Anche se ha entrambi i lati, quali sarebbero i fattori da considerare?