Участники проекта Gentoo, занимающиеся формированием обновлений с устранением уязвимостей, сообщили (https://archives.gentoo.org/gentoo-announce/message/25ae524a...) о решении исключить SPARC из числа архитектур для которых осуществляется сопровождение проблем с безопасностью. Решение не означает полный отказ от выпуска обновлений с устранением уязвимостей в пакетах SPARC, а лишь свидетельствует о прекращении анализа специфичных для SPARC уязвимостей и выпуске уведомлений GLSA не дожидаясь стабилизации пакетов с исправлениями для SPARC. При этом большинство уязвимостей не привязаны к конкретным архитектурам и для устранения подобных уязвимостей обновления продолжат формироваться в том числе и для SPARC.
URL: https://archives.gentoo.org/gentoo-announce/message/25ae524a...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46662
Просто людей не хватает для своевременного тестирования пакетов на SPARC, им мало кто пользуется сейчас. В stable он, наверное, останется, но с минимумом пакетов, необходимых для stage3. На unstable ничто не повлияет.Проблема вызвана тем, что у нас уязвимость считается закрытой, только когда исправление попало в stable всех архитектур. Соответственно, если arch team не справляется вовремя со стабилизацией, баг может висеть месяцами, соответственно, мейнтенеры пакетов не могут удалить старую какашку.
Возможно, ещё и время сборки важно.
Нет, со временем сборки больших проблем нет. Для желающих arch-тестировать обычно есть удалённо доступное железо.
Или у людей не хватает доступа к соответствующему железу.
У людей хватает доступа к соответствующему QEMU.
Seriously? Почему бы не назвать архитектуру тогда spark_qemu? А qemu тестировать на этом дистрибутиве, да. Змея ест свой хвост
Ты просто никогда не пробовал собирать под QEMU. Чтобы починить fails to build from source под MIPS у меня ушло несколько дней. Сборка программы, которая на не самом мощном хосте собиралась меньше минуты, в QEMU занимала десятки часов.
> Ты просто никогда не пробовал собирать под QEMU. Чтобы починить fails to
> build from source под MIPS у меня ушло несколько дней. Сборка
> программы, которая на не самом мощном хосте собиралась меньше минуты, в
> QEMU занимала десятки часов.Если правильно организовать сборочницу, то собирать можно всего лишь в 1,5-2 раза медленнее, чем родной x86_64 софт.
> Если правильно организовать сборочницу, то собирать можно всего лишь в 1,5-2 раза
> медленнее, чем родной x86_64 софт.Инструкцию в студию.
>> Если правильно организовать сборочницу, то собирать можно всего лишь в 1,5-2 раза
>> медленнее, чем родной x86_64 софт.
> Инструкцию в студию.Да ну? тебе - и "инструкцию"?:)
В двух словах: пропихиваешь в сборочницу вместо "честных" наиболее ресурсоёмких тулз/пакетов нативные заменители (кросс gcc/g++, bash, flex, bison, tar, gzip, etc.)
Собирать, естественно, под qemu-user.
А точная инструкция сильно зависит от того, в чём собираешь (в гентах и прочих рачах - не представляю как).
Я уж думал, что ты мне про экспериментальный state-of-the-art рекомпилятор расскажешь.
> Чтобы починить fails to build from source под MIPS у меня ушло несколько дней.Кросс-компиляцию не осилил?
>> Чтобы починить fails to build from source под MIPS у меня ушло несколько дней.
> Кросс-компиляцию не осилил?Кросс-компиляцией всё собиралось. Проблема была в том, что не собиралось на железе.
Кросс-компиляция это всё же не совсем то же, что и сборка на самой платформе. Так можно достичь состояния, когда собранный софт работает в QEMU, но не работает на реальном железе. И толку тогда?
Если тулчейн не кривой, то таких проблем быть не должно. А для воспроизводимости сборки, само собой, кросс-тулчейн должен полностью соответствовать нативному, до версий всех компонентов.
> Если тулчейн не кривой, то таких проблем быть не должно. А для
> воспроизводимости сборки, само собой, кросс-тулчейн должен полностью соответствовать
> нативному, до версий всех компонентов.Определение "прямоты" тулчейна — это идентичность поведения? А проверять её без железа как?
Странно слышать от тебя такое. Кросс-компиляция - это абсолютно то же самое, что и сборка на самой платформе. Не с -march=native ли собираешь?
гентушники, что там с hardened?
а что не так с hardened?
Потеря доступа к GRsecurity/PaX.
ну там не потеря доступа, а потеря доступа к бекпортамgrsecurity сказали что не будут выпускать свой патчсет бесплатно для чего-то кроме самых последних ядер. т.е. перекладывают заботу по поддержанию на дистр/юзера.
а так-то hardened работает, всё норм:
Linux 4.8.17-hardened-r2 #10 SMP PREEMPT Wed May 3 03:31:11 EEST 2017 x86_64 Intel(R) Core(TM) i7-3632QM CPU @ 2.20GHz GenuineIntel GNU/Linux
Сейчас норм. В перспективе все плохо. Взамен предлагают только selinux.
Да, работает, но 4.8 и 4.9 будет. А дальше всё, приплылми, Pax/GrSecurity team не будет больше ничего выкладывать.Теоретически любой обладатель платной подписки может выложить код, GPLv2 же, но PaXTeam может аннулировать после этого их подиску. Увы, но GPL от подобного террора не защищает.
> Да, работает, но 4.8 и 4.9 будет. А дальше всё, приплылми, Pax/GrSecurity
> team не будет больше ничего выкладывать.
> Теоретически любой обладатель платной подписки может выложить код, GPLv2 же, но PaXTeam
> может аннулировать после этого их подиску. Увы, но GPL от подобного
> террора не защищает.gentoo team может оформить подписку, наверное... договориться с pax/gr team о поддержке их ядер.
В генту рассылках обсуждается? Я не ходок просто, и видел что в ру-комюнити много генту-разрабов.
> gentoo team может оформить подписку, наверное...Нет, мы некоммерческая организация. Кроме того, смысл покупать? Есть Gentoo Social Contract, поэтому если мы купим, то обязаны будет это всем открыть, что сразу приведёт к отзыву подписки.
> договориться с pax/gr team о поддержке их ядер.
Пробовали, не вышло.
> В генту рассылках обсуждается?
Да, на gentoo-hardened ML достаточно долго обсуждали.
> гентушники, что там с hardened?Народ пока что думает. Скорее всего, ветка 4.9 будет поддерживаться максимально долго. За это время должно подоспеть что-нибудь ещё, например, kpatch таки перенесёт самые важные вещи из PaX в ванильное ядро.
А так, конечно, выходки PaXTeam сильно ударили по сообществу.
Это не выходки ударили. Просто толстожопые корпоративы совсем обнаглели.
Что-то новостей про Arch совсем нету. :-(
А какие должны быть новости? Работает себе и работает, никаких перемен.
Ну написали бы как Аллан самовыпилился из майнтейнеров.
это теперь генту на полностью отечественном эльбрусе теперь уязвимый будет? а что у других линуксовых вендоров с этим?
Отечественного в нем с гулькин нос.
Полностью отечественный «Эльбрус» не имеет отношения к SPARC. «Эльбрус», имеющий отношение к SPARC - V8, а не V9.
Нда. Интересно, OEL/sparc все же релизнется или похоронят раньше, чем допилим...