¿Qué es KSPP ? Lo vi siendo comparado con y llamé a un competidor a Grsecurity, pero no puedo encontrar un parche o un repositorio Git para descargar.
¿Es solo una idea / manifiesto o algo real, con un parche / repositorio concreto para descargar (incluso si no está terminado)? ¿Hay programadores que se llaman a sí mismos parte del equipo de KSPP? O tal vez la mayoría de los resultados del trabajo de KSPP se actualizan constantemente, por lo que no hay necesidad de parches separados.
KSPP no es un competidor. Es un proyecto para obtener características de seguridad mejoradas en el kernel de Linux, financiado por la Iniciativa de Infraestructura Central . Grsecurity, por otro lado, es un parche de seguridad para Linux producido por Open Source Security, Inc . Grsecurity se implementa como una serie de modificaciones al código fuente del kernel, así como complementos de GCC que mejoran la seguridad. No hay un parche de KSPP para descargar porque todas las mejoras son anteriores. En muchos casos, las ideas para mejoras provienen directamente del último parche público de seguridad disponible. Por ejemplo, grsecurity escribió una mitigación de desbordamiento de recuento de referencia de alto rendimiento. KSPP intentó implementarlo ellos mismos, descubrió que el rendimiento era terrible y, en cambio, tomó la versión de grsecurity, la modificó ligeramente e incluyó en Linux ascendente. Ahora, aguas arriba tiene protección (básica) de refcount.
En términos de seguridad, grsecurity está muy por delante de KSPP. Esto se debe en parte a que grsecurity está dispuesto a tomar "riesgos" que los desarrolladores del kernel de Linux no quieren (por ejemplo, usar segmentación x86), sino también porque los desarrolladores de grsecurity están significativamente más centrados en la seguridad, sin las limitaciones de los desarrolladores que no lo hacen. No considere que los errores de seguridad sean peores que otro error. La ventaja principal (¿solo?) Que KSPP tiene sobre la seguridad de grsecurity actualmente es que las mejoras de seguridad introducidas por KSPP se hacen públicas, a diferencia de grsecurity que (actualmente, al menos) solo está disponible para los clientes.
Debido a una serie de eventos complicados, Brad Spengler (desarrollador de grsecurity) ha tenido filas frecuentes con desarrolladores de Linux, y el KSPP en particular. Él los ve como plagiando su trabajo, y ellos lo ven como atacándolos innecesariamente. Si esto es cierto o no es irrelevante para la comparación.
En resumen
Lea otras preguntas en las etiquetas linux kernel grsecurity