Hong Kong: En la Conferencia KubeCon y Open Source Summit China, Greg Kroah-Hartman, mantenedor del kernel estable de Linux, quiere que sepas que en una semana promedio, el equipo de seguridad de Linux emite sesenta – 60 – Vulnerabilidades Comunes y Exposiciones (CVE). No te estreses. Esa es solo la realidad en Linux. También: La actualización de Windows rompe el arranque dual de Linux, pero hay una solución para algunos usuarios
Pero primero, unas palabras sobre Linux y CVEs. Linux rige el mundo. Está en tu teléfono Android; está en tu unidad de aire acondicionado; administra la web, potencia supercomputadoras; la nube; e incluso quizás tu PC. Lo llamas, Linux lo ejecuta. Sí, incluso los iPhones, que lo utilizan para 4G y 5G. Las CVEs rastrean los problemas de seguridad del software mundial. Para una CVE, o al menos una CVE de Linux, eso significa problemas críticos. ¿Datos perdidos debido a un error? No es una CVE. ¿La última actualización solo ralentizó tu computadora a paso de tortuga? No, no es una CVE. ¿Tu servidor fue aniquilado como un insecto golpeando un parabrisas a toda velocidad? Ahora sí estamos hablando de una CVE.
En febrero de 2024, el equipo de desarrollo del kernel de Linux se hizo responsable de asignar las CVEs para el kernel de Linux. Lo hicieron porque nuevas regulaciones gubernamentales, como las de la Unión Europea, requerían que los proyectos de código abierto asumieran la responsabilidad de las vulnerabilidades conocidas. Además, como explicó Kroah-Hartman en aquel momento, debido a que mientras el sistema CVE está roto de muchas maneras, este cambio es una forma para nosotros de asumir más responsabilidad por esto y esperamos mejorar el proceso con el tiempo. Además, aseguraron que ningún otro grupo pudiera asignar CVEs de Linux sin contar con la opinión de los desarrolladores de Linux. También: 5 aplicaciones de terminal de Linux que son mejores que las predeterminadas
Espera. ¿No te preocupa que 60 CVEs a la semana sobre problemas que pueden detener tu computadora sea algo alarmante? Bueno, sí. Sin embargo, ahora no necesariamente. Como explicó Kroah-Hartman, hoy en día, el kernel de Linux tiene “38 millones de líneas de código. Solo usas una pequeña parte de esto. Mi portátil usa alrededor de un millón y medio de líneas de código… Tu teléfono, la bestia más compleja allí fuera, utiliza alrededor de 4 millones de líneas de código. Así que, de todo esto, realmente solo estás usando una pequeña porción, pero cada uno utiliza una porción diferente, y eso es algo importante a recordar”. El equipo del kernel de Linux no tiene idea de qué parte usas en tu producto. Su trabajo consiste en producir el código central que todos utilizan. Cada uno con su propia configuración y caso de uso único. Además: 10 cosas que siempre hago inmediatamente después de instalar Linux, y por qué
Kroah-Hartman citó a Ben Hawkes, un experto en seguridad informática, hacker ético y exdirector de Google Project Zero, quien resumió la situación perfectamente: “CVE no hace un gran trabajo capturando estas sutilezas del ecosistema del kernel de Linux. Es difícil capturar el hecho de que un error puede ser muy grave en un tipo de despliegue, bastante importante en otro, o no importar nada en absoluto, y que el error puede ser todas esas cosas al mismo tiempo. La remediación de vulnerabilidades es difícil”. Por eso hay tantas CVEs fluyendo a un ritmo frenético. Debido a que con tantos sistemas y casos de uso diferentes por ahí, cualquier error puede ser un problema de seguridad. Como dijo una vez Linus Torvalds, “los problemas de seguridad son simplemente errores”.
Eso, añadiría, es con los miembros del equipo de seguridad del kernel siendo reactivos. Responden a errores y vulnerabilidades reportadas. Trian los informes de errores entrantes, determinan si existe un problema de seguridad y trabajan con los mantenedores relevantes para solucionar el error. No salen a buscar errores. Una vez que hay una solución disponible,