Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
Next revisionBoth sides next revision
docs:guide-developer:security [2022/07/06 01:10] – Include the canonical list of security advisories instead of reimplementing it per year. This has the advantages that (1) it doesn't need to be updated each year, and (2) it links to the canonical source. ccddocs:guide-developer:security [2023/10/13 09:25] – add 23.05 hauke
Line 19: Line 19:
  
 ^ Version ^ Current status ^ Projected EoL ^ ^ Version ^ Current status ^ Projected EoL ^
-22.03 | Fully supported | - | +23.05 | Fully supported | - 
-| 21.02 | Fully supported December 2022 |+| 22.03 | Security maintenance | EoL (April 2024) 
 +| 21.02 | End of life EoL (May 2023) |
 | 19.07 | End of life | EoL (April 2022) | | 19.07 | End of life | EoL (April 2022) |
 | 18.06 | End of life | EoL | | 18.06 | End of life | EoL |
Line 73: Line 74:
 Note that individual packages and/or targets may ignore or otherwise not respect these settings. Note that individual packages and/or targets may ignore or otherwise not respect these settings.
  
-^ .config line ^ Enabled by default ^ Notes ^ +^ .config line                                   ^ Enabled by default  ^ Notes                                                                                                                                
-| ''CONFIG_PKG_CHECK_FORMAT_SECURITY=y'' | Yes | ''-Wformat -Werror=format-security''+| ''CONFIG_PKG_CHECK_FORMAT_SECURITY=y''         | Yes                 | ''-Wformat -Werror=format-security''                                                                                                 
-| ''CONFIG_PKG_CC_STACKPROTECTOR_REGULAR=y'' | Yes | ''-fstack-protector''+| ''CONFIG_PKG_CC_STACKPROTECTOR_REGULAR=y''     | Yes                 | ''-fstack-protector''                                                                                                                
-| ''CONFIG_PKG_CC_STACKPROTECTOR_STRONG=y'' | | ''-fstack-protector-strong''+| ''CONFIG_PKG_CC_STACKPROTECTOR_STRONG=y''      No                  | ''-fstack-protector-strong''                                                                                                         
-| ''CONFIG_KERNEL_CC_STACKPROTECTOR_REGULAR=y'' | Yes | Kernel config CONFIG_STACKPROTECTOR | +| ''CONFIG_KERNEL_CC_STACKPROTECTOR_REGULAR=y''  | Yes                 | Kernel config CONFIG_STACKPROTECTOR                                                                                                  
-| ''CONFIG_KERNEL_CC_STACKPROTECTOR_STRONG=y'' | No | Kernel config CONFIG_STACKPROTECTOR_STRONG | +| ''CONFIG_KERNEL_CC_STACKPROTECTOR_STRONG=y''   | No                  | Kernel config CONFIG_STACKPROTECTOR_STRONG                                                                                           
-| ''CONFIG_PKG_FORTIFY_SOURCE_1=y'' | Yes | ''-D_FORTIFY_SOURCE=1'' (Using [[https://git.2f30.org/fortify-headers/|fortify-headers]] for musl libc) | +| ''CONFIG_PKG_FORTIFY_SOURCE_1=y''              | Yes                 | ''-D_FORTIFY_SOURCE=1'' (Using [[https://git.2f30.org/fortify-headers/|fortify-headers]] for musl libc)                              
-| ''CONFIG_PKG_FORTIFY_SOURCE_2=y'' | | ''-D_FORTIFY_SOURCE=2'' (Using [[https://git.2f30.org/fortify-headers/|fortify-headers]] for musl libc) | +| ''CONFIG_PKG_FORTIFY_SOURCE_2=y''              No                  | ''-D_FORTIFY_SOURCE=2'' (Using [[https://git.2f30.org/fortify-headers/|fortify-headers]] for musl libc)                              
-| ''CONFIG_PKG_RELRO_FULL=y'' | Yes | ''-Wl,-z,now -Wl,-z,relro''+| ''CONFIG_PKG_RELRO_FULL=y''                    | Yes                 | ''-Wl,-z,now -Wl,-z,relro''                                                                                                          
-| ''CONFIG_PKG_ASLR_PIE=y'' | | ''-PIE'' (some own spec file) |+| ''CONFIG_PKG_ASLR_PIE_REGULAR=y''              Yes                 | ''-fPIC'' CFLAGS and ''-specs=hardened-build-ld'' LDFLAGS\\ PIE is activated for some binaries, mostly network exposed applications 
 +| ''CONFIG_PKG_ASLR_PIE_ALL=y''                  | No                  | PIE is activated for all applications                                                                                                | 
 +| ''CONFIG_KERNEL_SECCOMP''                      | Yes                 | Kernel config CONFIG_SECCOMP                                                                                                         | 
 +| ''CONFIG_SELINUX''                             | No                  | Kernel config SECURITY_SELINUX                                                                                                       |
  
  • Last modified: 2024/12/07 10:05
  • by ynezz