Parece que hay un consenso, que
-D_FORTIFY_SOURCE=2 -O1
es una medida de endurecimiento que debe aplicarse como opción de compilación. Esta también fue una recomendación en el Informe de Dovecot Pentest .
Lo que me confunde es que _FORTIFY_SOURCE=2
necesita un indicador de optimizador, a pesar del hecho de que, al menos de acuerdo con esto informe de error : puede tener implicaciones de seguridad.
Tengo muy poca comprensión para comprender la gravedad de -O1
en la seguridad.
¿Alguien puede arrojar algo de luz sobre por qué -O1
es un problema (preferiblemente también cómo puede mitigarse esto) o por qué esto no es un problema? Además, si tiene ambos lados, ¿cuáles serían los factores a considerar?