Я заметил, что несколько избранных программ в Долгосрочная поддержка репозиторий для моей операционной системы, не были скомпилированы с ПИРОГ, или Немедленная привязка (например).
По мнению тех, кто здесь, на serverfault, было бы более безопасно перекомпилировать эти избранные части программного обеспечения, использующие флаги безопасности и функции в GCC? Или более важно сохранить программное обеспечение как актуальный насколько возможно из исходного репозитория, доверяя их решения, когда они собрали пакет?
Конечно, "оба", вероятно, предпочтительнее. Но реально, и единственная причина, по которой я до сих пор не пытался перекомпилировать критически важные приложения, заключается в том, что мне впоследствии пришлось бы помещать созданные пользователем пакеты DEB в режим ожидания (в диспетчере пакетов), чтобы пользовательские сборки не перезаписывались будущим обновлением пакета без моего знание.
Таким образом, я должен был оценить, насколько важным было обновление с точки зрения безопасности или с точки зрения безопасности. при необходимости перестройте из источника, упакуйте и установите указанное обновление -
Проще говоря, перевешивают ли преимущества пользовательской компиляции преимущества исправлений безопасности по запросу? какие-либо предложения?
и в примечании; отвечает ли сопровождающий пакета за компиляцию с включенными определенными флагами безопасности (такими как PIE)? или это обычно делается по прихоти вышестоящего репозитория (т. е. сопровождающих Debian / Ubuntu Distro)? должно ли это повлиять на мое решение?
Это Цель выпуска для проекта Debian, чтобы «обновить как можно больше пакетов, используя флаги сборки, повышающие безопасность, с помощью dpkg-buildflags». Когда будет завершена эта задача, в их вики не указано. Итак, чтобы ответить на один из ваших вопросов, это решение, принятое на уровне дистрибутива, которое необходимо реализовать разработчикам. В случае Debian, как вы знаете, сопровождающие - добровольцы.
Если это чисто проблема безопасности, вы можете также связаться с разработчиками этих пакетов или заполнить отчет об ошибке против них, в идеале предоставив исправление.
Если это бизнес-решение, вам необходимо принять во внимание время, потраченное на перекомпиляцию, упаковку и распространение таких частей программного обеспечения, пока они не будут исправлены в вашем дистрибутиве, или использовать другой дистрибутив, в котором уже реализованы эти меры безопасности.