Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision | Next revisionBoth sides next revision | ||
| zh:docs:guide-developer:security [2021/04/17 20:20] – [交付给用户] guyezi | zh:docs:guide-developer:security [2021/11/18 00:26] – 同步官方更新内容翻译 guyezi | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | |||
| ====== 安全 ====== | ====== 安全 ====== | ||
| + | 有关以往页面, | ||
| - | 点击 [[: | + | 此页面列出了 OpenWrt |
| - | + | 这包括了 OpenWrt 发行版以及托管在 | |
| - | 本页面罗列了用于确保OpenWrt安全性的流程、工具及机制。 | + | |
| - | 涵盖了由https:// | + | |
| ===== 漏洞报告 ===== | ===== 漏洞报告 ===== | ||
| + | 安全漏洞应保密报告至 [[contact@openwrt.org]], | ||
| - | 应将安全性错误秘密报告给 [[contact@openwrt.org]], | + | ===== 安全建议 |
| - | + | ==== 2021 年安全建议 | |
| - | ===== 安全公告 | + | <nspages advisory -actualtitle -textPages="" |
| - | + | ||
| - | ==== 安全公告 2020 ==== | + | |
| + | ==== 2020 年安全建议 ==== | ||
| <nspages advisory -actualtitle -textPages="" | <nspages advisory -actualtitle -textPages="" | ||
| - | ==== 安全公告 2019 ==== | ||
| + | ==== 2019 年安全公告 ==== | ||
| <nspages advisory -actualtitle -textPages="" | <nspages advisory -actualtitle -textPages="" | ||
| ===== 支持状态 ===== | ===== 支持状态 ===== | ||
| + | 这列出了当前支持或不支持的 OpenWrt 版本. | ||
| - | 这列出了当前支持或不支持的OpenWrt版本. | + | ^ 版本 ^ 当前状态 ^ 预计停止时间 ^ |
| + | | 21.02 | 完全支持| | | ||
| + | | 19.07 | 安全维护 | 2022 年 3 月 | | ||
| + | | 18.06 | 终结维护 | 2020 年 12 月 | | ||
| + | | 17.01 | 终结维护 | 停止 | | ||
| + | | 15.05 | 终结维护 | 停止 | | ||
| - | ^ 版本 ^ 当前状态 ^ 预计EOL ^ | + | 预计的停止可以在以后延长, |
| - | | 19.07 | 完全支持 | 2021 八月 | | + | |
| - | | 18.06 | 终止维护 | 2020 十二月 | | + | |
| - | | 17.01 | 终止维护 | EOL | | + | |
| - | | 15.05 | 终止维护 | EOL | | + | |
| - | 版本引用了此发行版分支中的最新稳定版本. | + | 版本引用了此发布分支中的最新稳定版本. |
| - | * 完全受支持意味着OpenWrt团队为核心软件包提供更新,以修复安全性和我们意识到的其他问题. | + | * 完全支持意味着 OpenWrt 团队为修复安全性和我们知道的其他问题的核心包提供更新. |
| - | * 安全维护意味着OpenWrt团队仅可解决此发行版中的安全问题,而不再解决任何错误. | + | * 安全维护意味着 OpenWrt 团队仅修复此版本中的安全问题,不再修复任何错误. |
| - | * 寿命终止意味着我们也将*不会*针对严重的安全问题也不会提供任何更新。请更新到最新版本. | + | * 终结维护意味着我们将 *不再* 为严重的安全问题提供任何更新. 请更新到最新版本. |
| - | 预计的EOL可以在以后扩展,具体取决于未来的情况,例如下一个版本的发布日期. | + | OpenWrt 主要版本在最初发布后将进入完全支持状态. |
| + | 当下一个 | ||
| + | OpenWrt 主要版本将在初始版本发布后 1 年或下一个主要版本发布后 6 个月终止. 将使用较晚的日期.我们计划在支持周期结束时进行最终的次要版本. | ||
| - | 这仅涵盖核心OpenWrt软件包,而不涉及托管在github上的外部软件包feed. 某些Feed软件包维护者并不会照顾所有仍支持核心组件的OpenWrt版本. | + | 这仅包含核心 OpenWrt 包而不涵盖 |
| - | 为了获得最佳的安全支持,我们建议每个人都升级到最新的稳定版本. | + | 一些提要包维护者并不关心仍然支持核心组件的所有 |
| + | 为了获得最佳的安全支持, 我们建议大家升级到最新的稳定版本. | ||
| ===== 识别问题 ===== | ===== 识别问题 ===== | ||
| - | + | OpenWrt 项目使用多种工具来识别潜在的安全问题. | |
| - | OpenWrt项目使用多种工具来识别潜在的安全问题. | + | 这些信息通常可供所有人使用, |
| - | 这些信息通常向所有人开放,我们感谢大家修复这些工具报告的问题. | + | |
| ==== uscan ==== | ==== uscan ==== | ||
| + | 该[[https:// | ||
| + | 此外,生成此页面的工具还会根据许多包的 PKG_CPE_ID 变量中列出的通用平台枚举 (CPE) 检查分配给包的现有 CVEs. | ||
| + | 该页面每周为 master 和活跃分支更新. | ||
| - | 此报告显示基础库和软件包存储库中所有软件包的版本号,并将其与最近的上游发行版本进行比较.另外,生成此页面的工具还会根据许多软件包的PKG_CPE_ID变量中列出的公共平台枚举(CPE), | + | ==== 覆盖扫描 ==== |
| - | 每周为master和active release分支重新生成此页面.[[https:// | + | OpenWrt 使用商业 |
| - | + | 这每周扫描一个 OpenWrt | |
| - | ==== 覆盖范围扫描 ==== | + | |
| - | + | ||
| - | OpenWrt使用商业化的Coverity Scan工具,该工具可免费提供给开源项目,以对OpenWrt组件进行静态代码分析. | + | |
| - | 它将每周扫描一个OpenWrt版本,并报告在OpenWrt项目中开发的组件(如procd和ubus)中发现的问题,但不适用于(patched)第三方组件. | + | |
| - | [[https:// | + | |
| ===== 可复制构建 ===== | ===== 可复制构建 ===== | ||
| - | + | [[https:// | |
| - | OpenWrt发行版应具有可复制性,以便可以检查我们生成的发行版是否确实与我们交付的源代码匹配,并且在构建过程中未引入任何后门. | + | 这证明生成的版本确实与交付的源代码匹配并且在构建过程中没有引入后门. |
| - | 可复制的构建项目检查OpenWrt master是否仍可复制,并在此处发布结果: | + | |
| ===== 交付给用户 ===== | ===== 交付给用户 ===== | ||
| + | OpenWrt 运行多个构建[[: | ||
| - | OpenWrt运行多个Buildbot实例,这些实例正在构建master和受支持的发行分支的快照. 请参见[[: | + | 当对包的更改提交到包源的 |
| + | 然后,新构建的包可以使用 opkg 安装或由 OpenWrt 用户与图像生成器集成. | ||
| + | 这使我们能够在大约 2 天内向最终用户发送更新. | ||
| - | 当对软件包提要的更改提交到软件包提要的OpenWrt基础存储库时,构建bot将自动检测到此更改并将重新生成此软件包. | + | 内核通常位于其自己的分区中, 因此升级并不容易. |
| - | 然后,新生成的软件包可以与opkg一起安装,或者由OpenWrt的用户与映像生成器集成.这使我们能够在大约2天内将更新发送给最终用户. | + | 这种机制目前不适用于内核本身和内核模块, 需要一个新的次要版本来向最终用户发送修复程序. |
| - | 内核通常位于其自己的分区中,因此升级不太容易.因此,该机制当前不适用于内核本身和内核模块,因此需要一个新的次要版本才能将修补程序提供给最终用户. | + | ===== 强化build选项 ===== |
| + | OpenWrt在编译时为所有包build激活[[https:// | ||
| + | 请注意个别插件包可能 和/或 targets 会忽略或不遵守这些设置. | ||
| - | ===== 强化构建选项 ===== | + | ^ .config |
| - | OpenWrt在编译时为所有软件包的构建激活一些构建强化选项. | + | | '' |
| - | + | | '' | |
| - | 来源: [[https:// | + | |
| - | + | ||
| - | ^ .config | + | |
| - | | '' | + | |
| - | | '' | + | |
| | '' | | '' | ||
| - | | '' | + | | '' |
| | '' | | '' | ||
| - | | '' | + | | '' |
| - | | '' | + | | '' |
| - | | '' | + | | '' |
| - | | '' | + | | '' |