Enterprise Linux est un terme générique qui désigne les distributions Linux conçues pour les besoins des entreprises, comme la stabilité, la sécurité, la performance et le support. Parmi les exemples les plus connus, on trouve Red Hat Enterprise Linux, Ubuntu, Linux Mint et SUSE Linux Enterprise Server. Ces distributions offrent des avantages indéniables pour les environnements professionnels, mais elles ne sont pas exemptes de critiques. Dans un billet, un ingénieur a exposé les problèmes et les limites des distributions Linux destinées aux entreprises.Le modèle Enterprise Linux fonctionne comme ceci :
Il a été décidé de créer un snapshot d'une collection de projets open source en amont à une version spécifique, y compris le noyau Linux, pour former la base d'une nouvelle version cohérente d'une distribution Enterprise Linux. Cette collection de logiciels restera figée à sa version spécifique tout au long de la durée de vie de cette version de distribution Enterprise Linux - qui est souvent de 10 ans ou plus.
Les ingénieurs, les mainteneurs et les testeurs derrière ces distributions ont ensuite effectué l'énorme travail ingrat de corrections de bogues, de tests, d'assurance qualité, de documentation, etc. C'est une entreprise massive de travail fastidieux et rigoureux. À la fin du processus, vous vous retrouvez avec une distribution Linux relativement stable qui fonctionne bien et ils la diffusent dans le monde.
La prochaine phase de travail acharné commence pour cette version. Garder la grande collection de logiciels sécurisés et aussi exempts de bogues que possible, car leurs homologues en amont continuent de tourner et de publier de nouvelles versions. Les mainteneurs de votre distribution Enterprise Linux doivent suivre attentivement l'océan des changements.
En pratique, cela signifie qu'ils gèlent les packages à une version spécifique pendant une longue période et ne rétroportent que les correctifs pour les bogues ou les problèmes de sécurité les plus flagrants qui reçoivent un CVE.
Ça sonne bien, non ? Non. Pas pour la sécurité. Il y a beaucoup de mal avec ce modèle.
Le modèle Enterprise Linux optimise la stabilité au détriment de la sécurité
Comme le montre la recherche : « Bien que la base de données nationale sur les vulnérabilités (NVD) publie les vulnérabilités identifiées, une grande majorité des vulnérabilités et leurs correctifs de sécurité correspondants restent au-delà de l'exposition publique ».
Concentrons-nous sur l'exemple de l'un des plus grands projets open source en cours : le noyau Linux. Selon le rapport sur l'historique du noyau Linux 2020, le projet de noyau Linux reçoit environ 10 modifications par heure, soit environ 225 modifications par jour. L'équipe derrière le noyau ne traite pas les bogues de sécurité comme quelque chose de spécial. C'est simplement un autre bogue. Tous les bogues sont égaux aux yeux du projet. Ils ne désignent pas un correctif de bogue particulier comme étant lié à la sécurité dans les journaux de validation. Ils ne publient pas d'avis. En fait, la grande majorité des CVE trouvés pour le noyau Linux ne sont identifiés que rétroactivement lorsque les chercheurs en sécurité et les parties intéressées se penchent sur les changements et se rendent compte que quelques-unes de ces corrections de bogues comblent en effet des failles de sécurité. Ce n'est qu'alors qu'ils déposent une demande de CVE pour le problème.
Très souvent, la plupart des CVE identifiés ont été corrigé des mois auparavant dans la version stable du noyau. Cela sans compter l'énorme pile de CVE non identifiés qui se cache dans la mer de corrections de bogues. Multipliez ce problème par le nombre total de packages qui composent une distribution Enterprise Linux et vous vous retrouvez avec une énorme fenêtre de vulnérabilité.
Le problème fondamental est que le modèle Enterprise Linux optimise la stabilité au détriment de la sécurité. En verrouillant les packages sur des versions spécifiques et en ne rétroportant que des correctifs sélectionnés, ces distributions accusent un retard considérable par rapport aux versions en amont en ce qui concerne les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.