Yayasan Gentoo
Sekelompok Pengembang Gentoo yang dilengkapi media sosial menyelenggarakan sesi AMA di Reddit hari ini, dan mereka tidak segan-segan menjawab pertanyaan sulit. Banyak di antaranya terkait dengan masalah keamanan, perlu dicatat bahwa Gentoo Linux sudah memiliki reputasi sebagai yang terdepan dalam hal pembaruan keamanan.
Distribusi ini menampilkan jadwal rilis bergulir mingguan yang memastikan sebagian besar pengguna menggunakan paket terbaru setiap saat. Satu masalah yang diangkat adalah apa yang mungkin terjadi jika kode sumber untuk paket populer berisi semacam trojan. Pengguna lama Linux mungkin ingat bahwa kode sumber server UnrealIRCd berisi pintu belakang pada satu titik, meskipun pengembang memperbaiki masalah segera setelah mereka mengetahuinya.
Karena Gentoo mengkompilasi kode sumber secara lokal sesuai dengan preferensi pengguna, biasanya Gentoo tidak akan dikompromikan sebagai hasil dari crack biner. Namun, mungkin ada masalah jika paket sumber entah bagaimana dikompromikan.
Menurut pakar keamanan Gentoo, hanya ada beberapa kemungkinan hal ini bisa terjadi. Jika repositori hulu untuk beberapa bagian kode sumber berisi trojan, maka akan sulit untuk menangkapnya. Masalah keamanan Linux seperti ini akan mempengaruhi banyak distribusi dan bukan hanya Gentoo.
Jika file tar ditukar di suatu tempat di masa mendatang, maka tidak masalah jika sumber upstream bersih. Akan tetapi, menggunakan OpenPGP untuk menandatangani rilis sebelum ditambahkan ke repositori ebuild di Gentoo bersama dengan pemeriksaan checksum membantu memastikan hal ini tidak menjadi masalah di banyak situasi.
Komentar AMA juga membantu menjelaskan beberapa metode lain yang digunakan untuk mencegah hal semacam ini terjadi. Saat dorongan atau komit ditambahkan ke repositori, mereka ditandatangani oleh pengembang. Dengan mengimplementasikan area pementasan rsync master untuk mempertebal komit lalu menambahkannya ke MetaManifest yang juga ditandatangani, rotasi kunci menjadi agak sederhana bagi para pengembang.
Penekanan baru pada masalah keamanan Linux hadir di hampir semua distro besar, tetapi jelas terlihat dari komentar ini bahwa Gentoo telah bekerja ekstra untuk memastikan keamanan implementasinya.
Tag Keamanan Linux
