Fundação Gentoo
Um grupo de desenvolvedores Gentoo equipados com mídia social hospedou uma sessão AMA no Reddit hoje, e eles não se esquivaram de responder a perguntas difíceis. Muitos deles estavam relacionados a questões de segurança, mas deve-se notar que o Gentoo Linux já tem a reputação de estar à frente do jogo quando se trata de atualizações de segurança.
A distribuição apresenta um cronograma de lançamento semanal que garante que uma grande maioria dos usuários use pacotes atualizados o tempo todo. Uma questão levantada foi o que poderia acontecer se o código-fonte de um pacote popular contivesse algum tipo de cavalo de Tróia. Usuários antigos do Linux podem se lembrar que o código-fonte do servidor UnrealIRCd continha um backdoor em um ponto, embora os desenvolvedores tenham corrigido o problema assim que o detectaram.
Já que o Gentoo compila o código-fonte localmente de acordo com as preferências do usuário, normalmente não seria comprometido como resultado de um binário quebrado. No entanto, pode haver um problema se os pacotes fonte forem de alguma forma comprometidos.
De acordo com os especialistas em segurança do Gentoo, existem apenas algumas maneiras possíveis de isso acontecer. Se o repositório upstream de alguma parte do código-fonte contivesse um cavalo de Troia, seria difícil capturar o downstream. Este tipo de problema de segurança do Linux influenciaria muitas distribuições e não apenas o Gentoo.
Se um arquivo tar foi trocado em algum lugar abaixo da linha, então não importaria se a fonte upstream estava limpa. No entanto, usar o OpenPGP para assinar o lançamento antes de ser adicionado ao repositório ebuild no Gentoo junto com a inspeção de somas de verificação ajuda a garantir que isso não seja um problema na maioria das situações.
Os comentários da AMA também ajudaram a esclarecer alguns outros métodos usados para evitar que esse tipo de coisa aconteça. Quando pushes ou commits são adicionados a um repositório, eles são assinados pelos desenvolvedores. Ao implementar uma área de teste rsync master para engrossar os commits e depois adicioná-los a um MetaManifest que também é assinado, a rotação de chaves se tornou bastante simples para os desenvolvedores.
Uma ênfase renovada nas questões de segurança do Linux está presente em quase todas as principais distros, mas certamente parece a partir desses comentários que o Gentoo foi além para garantir a segurança de sua implementação.
Tag Segurança Linux
![Huion Pen não funciona [Correções]](https://jf-balio.pt/img/how-tos/73/huion-pen-not-working.jpg)
