This translation is older than the original page and might be outdated. See what has changed.

安全

点击 这里访问旧版信息。

本页面罗列了用于确保OpenWrt安全性的流程、工具及机制。 涵盖了由https://github.com/openwrt/所承载的官方软件包源及https://git.openwrt.org/承载的procd、ubus和libubox。

应将安全性错误秘密报告给 contact@openwrt.org, 请参阅安全漏洞报告有关详细信息.

这列出了当前支持或不支持的OpenWrt版本.

版本 当前状态 预计EOL
19.07 完全支持 2021 八月
18.06 终止维护 2020 十二月
17.01 终止维护 EOL
15.05 终止维护 EOL

版本引用了此发行版分支中的最新稳定版本.

  • 完全受支持意味着OpenWrt团队为核心软件包提供更新,以修复安全性和我们意识到的其他问题.
  • 安全维护意味着OpenWrt团队仅可解决此发行版中的安全问题,而不再解决任何错误.
  • 寿命终止意味着我们也将*不会*针对严重的安全问题也不会提供任何更新。请更新到最新版本.

预计的EOL可以在以后扩展,具体取决于未来的情况,例如下一个版本的发布日期.

这仅涵盖核心OpenWrt软件包,而不涉及托管在github上的外部软件包feed. 某些Feed软件包维护者并不会照顾所有仍支持核心组件的OpenWrt版本. 为了获得最佳的安全支持,我们建议每个人都升级到最新的稳定版本.

OpenWrt项目使用多种工具来识别潜在的安全问题. 这些信息通常向所有人开放,我们感谢大家修复这些工具报告的问题.

此报告显示基础库和软件包存储库中所有软件包的版本号,并将其与最近的上游发行版本进行比较.另外,生成此页面的工具还会根据许多软件包的PKG_CPE_ID变量中列出的公共平台枚举(CPE),检查分配给软件包的现有CVE. 每周为master和active release分支重新生成此页面.https://sdwalker.github.io/uscan/index.html

OpenWrt使用商业化的Coverity Scan工具,该工具可免费提供给开源项目,以对OpenWrt组件进行静态代码分析. 它将每周扫描一个OpenWrt版本,并报告在OpenWrt项目中开发的组件(如procd和ubus)中发现的问题,但不适用于(patched)第三方组件. https://scan.coverity.com/projects/openwrt

OpenWrt发行版应具有可复制性,以便可以检查我们生成的发行版是否确实与我们交付的源代码匹配,并且在构建过程中未引入任何后门. 可复制的构建项目检查OpenWrt master是否仍可复制,并在此处发布结果:https://reproducible.debian.net/openwrt/openwrt.html

OpenWrt运行多个Buildbot实例,这些实例正在构建master和受支持的发行分支的快照. 请参见Buildbot有关详细信息.

当对软件包提要的更改提交到软件包提要的OpenWrt基础存储库时,构建bot将自动检测到此更改并将重新生成此软件包. 然后,新生成的软件包可以与opkg一起安装,或者由OpenWrt的用户与映像生成器集成.这使我们能够在大约2天内将更新发送给最终用户.

内核通常位于其自己的分区中,因此升级不太容易.因此,该机制当前不适用于内核本身和内核模块,因此需要一个新的次要版本才能将修补程序提供给最终用户.

OpenWrt在编译时为所有软件包的构建激活一些构建强化选项.

来源: config/Config-build.in. 请注意,各个程序packages 和/或 targets 可能会忽略或不遵守这些设置.

.config 系 默认启用? 注意
CONFIG_PKG_CHECK_FORMAT_SECURITY=y 启用 -Wformat -Werror=format-security
CONFIG_PKG_CC_STACKPROTECTOR_REGULAR=y 启用 -fstack-protector
CONFIG_PKG_CC_STACKPROTECTOR_STRONG=y -fstack-protector-strong
CONFIG_KERNEL_CC_STACKPROTECTOR_REGULAR=y 启用 Kernel config CONFIG_STACKPROTECTOR
CONFIG_KERNEL_CC_STACKPROTECTOR_STRONG=y Kernel config CONFIG_STACKPROTECTOR_STRONG
CONFIG_PKG_FORTIFY_SOURCE_1=y 启用 -D_FORTIFY_SOURCE=1 (为强制开启musl libc fortify-headers)
CONFIG_PKG_FORTIFY_SOURCE_2=y -D_FORTIFY_SOURCE=2 (为强制开启musl libc fortify-headers)
CONFIG_PKG_RELRO_FULL=y 启用 -Wl,-z,now -Wl,-z,relro
CONFIG_PKG_ASLR_PIE=y -PIE (some own spec file)
This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website.More information about cookies
  • Last modified: 2021/04/17 20:20
  • by guyezi