Ubuntu сократит время устранения уязвимостей в пакетах с ядром Linux

Клебер Соуза (Kleber Souza), инженер из компании Canonucal, занимающийся сопровождением пакетов с ядром Linux для Ubuntu, объявил о переходе на новый цикл подготовки обновлений ядра, нацеленный на плановое формирование обновлений, включающих исправления выявленных в ядре уязвимостей. Новый цикл, который получил кодовое обозначение “4/2”, предусматривает формирование дополнительных SU-обновлений пакетов с ядром (Security Update), включающих исправления неотложных проблем и уязвимостей, отмеченных как опасные и критические.

В соответствии с новой схемой раз в 4 недели будут публиковаться SRU-обновления (Stable Release Updates) пакетов с ядром, переносящие исправления из корректирующих выпусков ядра Linux. Через две недели после начала цикла формирования очередного SRU-обновления отдельно будет публиковаться SU-обновление, включающее исправления накопившихся опасных уязвимостей и важных проблем. Подготовка и тестирование SRU-обновлений перед публикацией будет занимать 4 недели, а SU-обновлений – 2 недели. В оставшиеся две недели до окончания общего цикла SRU, исправления опасных уязвимостей и важных проблем будут переноситься в готовящийся выпуск SRU-обновления.

Таким образом, новые версии пакетов с ядром теперь будут публиковаться раз в две недели, а максимальная задержка при устранении опасных уязвимостей не будет превышать двух недель. Например, пакеты с ядром 6.2 для Ubuntu 23.04 будут формироваться в следующем порядке: на неделе, начинающейся с 7 августа, будет опубликовано SRU-обновление с переносом исправлений из основной ветки ядра, 21 августа будут сформировано SU-обновление с исправлениями уязвимостей, 4 сентября – SRU-обновление, 18 сентября – SU-обновление и т.п.


Предполагается, что нова схема ускорит доставку пользователям исправлений уязвимостей и повысит предсказуемость процесса разработки.
При применении старой схемы, в которой применялся трёхнедельный цикл разработки, возникали проблемы c оперативностью исправления уязвимостей. При соблюдении графика пользователям приходилось ждать исправления некритических уязвимостей до трех недель. В случае обнаружения критических проблем, уязвимостей или регрессий, формировались внеплановые обновления, которые нарушали процесс подготовки очередного планового обновления ядра. В итоге, внеплановые обновления смещали цикл формирования планового обновления и задерживали его публикацию. Соответственно, задерживалась и доставка исправлений некритических уязвимостей.

Release. Ссылка here.