背景:内核社区接管 Linux 社区漏洞发布
关于内核 CVE 的更多详情,可参考社区文档[5]。
在新的运作机制下,Linux 内核的漏洞分析更加专业化,漏洞识别率高,且不会出现 0day 漏洞。但同时 CVE 漏洞数量激增,预计 2024 年全年将超过 4000 个,相较往年增长 10 倍以上,这也为 openEuler 内核的维护带来了挑战。
openEuler 内核核心贡献者加入 Linux 社区 CVE 检视团队
Linux Kernel Maintainer Meetup with Linus and Greg
于是,从 linux 6.10.7 开始,openEuler 社区 Kernel SIG 中三位自华为的核心贡献者龚睿奇、章昌仲和郭寒军加入到 Linux 内核社区的 CVE 审视工作中,成为社区 CVE 检视“五人团”(分别来自 Linux Foundation,Nvidia,Google,Microsoft,Huawei)中的一员[7]。
Linux 内核社区 CVE 检视团队
在 stable 分支有新版本发布时,将共同审视新版本中的各个补丁,形成一份 CVE 候选补丁列表,随后发送给社区 CVE 团队。社区 CVE 团队在收到所有成员的审视结果后,将会结合这些意见形成一份最终的 CVE 补丁列表,并对其中的补丁完成 CVE 编号分配和发布工作。Greg对华为参与 CVE的检视工作也给予了高度认可,不仅帮忙确认了 CVE 候选补丁,还帮忙识别出了其他检视成员没有检视出的 CVE补丁。
openEuler 的核心贡献者成为 Linux 内核社区的 CVE 检视成员,将进一步巩固和提升 openEuler 在漏洞响应和安全方面的能力。参与 Linux 社区 CVE 检视,一方面将从源头上参与提高 CVE 识别质量,另一方面将随时感知 CVE 信息,大大提升 openEuler 社区在高危漏洞上的响应能力。
[1]http://www.kroah.com/log/blog/2024/02/13/linux-is-a-cna/ [2]https://www.cve.org/About/Overview [3]https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git [4]https://lore.kernel.org/linux-cve-announce/ [5]https://docs.kernel.org/process/cve.html [6]https://linuxfoundation.eu/cyber-resilience-act [7]https://git.kernel.org/pub/scm/linux/security/vulns.git/log/cve
