是不是说现在根据红帽协议不能直接用红帽的修复漏洞的源码了,
不过AlmaLinux会根据漏洞软件的更新指南自己构建补丁修复呢?
[ol]在红帽政策变更之前,当 RHEL 发布任何类型的软件包更新(安全或错误修复)时,他们都会将相应的源代码发布到存储库中。然后AlmaLinux将更新集成到我们自己的构建和测试系统中,生成新的RPM,并将其发布到我们的存储库。
该链条的第一部分现已断裂。只有红帽客户帐户才能访问红帽软件,重新分发红帽软件(包括在下游重建中使用它)违反了红帽订阅协议。
从安全和更新的角度来看,这使我们的工作变得更加困难,但绝不是不可能的。让我们使用 OpenSSL 作为示例,因为它是一个至关重要的软件包(与所有软件包一样)偶尔会发布安全更新。以下时间表可能具有启发性,并展示了我们向用户提供安全更新的能力。
RHEL 9.2 于 5 月 10 日随 OpenSSL 3.0.7 一起发布。该源代码已在此处发布。
AlmaLinux 9.2 还于 5 月 10 日附带 OpenSSL 3.0.7。
上游 OpenSSL 于 5 月 30 日发布了CVE-2023-2650,并在 OpenSSL 3.0.7 中提供了修复程序。
RHEL 9.2于 6 月 21 日发布了修补后的 OpenSSL 3.0.7。
AlmaLinux于 6 月 23 日发布了OpenSSL 3.0.7。
我们一直在评估构建更新的几种方法。正如我们在上一篇文章“ RHEL 更改对 AlmaLinux 的影响”中概述的那样,我们将继续尽快发布更新。该过程更加耗费人力,因为我们需要从多个来源收集数据和补丁,对它们进行比较、测试,然后构建它们以供发布。但请放心,更新将一如既往地继续进行。[/ol]复制代码
