Proxmox VE 是一套開放原始碼的平台套件,但是在更新速度上的效率如何呢?安全性的狀況又如何呢?
除了去年我在一場演講中提到「開源與閉源的安全性議題」之外,最近剛好也有個案例可以分享。
容器漏洞
就在最近,有個容器經常使用的 runC 套件被揭露具有嚴重的問題 (CVE-2019-5736),能夠讓入侵者掌握容器的管理權限甚至是建立新的容器。
由於容器技術在雲端世代運用極為廣泛,這個問題幾乎涵蓋了所有平台,諸如 Amazon、Google、Redhat...等,各家也立即展開修補動作。
iThome 報導 runC 套件漏洞資訊
修補狀況
對於我們很喜愛使用的 Proxmox VE 使用者來說,使用的 LXC 容器技術同樣也受到這個問題的威脅,那麼 Proxmox VE 這邊的修補情況又是如何呢?
我們來到官方團隊的 git 伺服器,看看專案的狀況進行了解。
PVE 修正進度
依據 iThome 新聞指向的來源顯示,在 2/11 揭露 runC 漏洞存在,PVE 團隊在 2/12 就立即合併了來自 Debian 的修補檔。
PVE 版本更新進度
在完成修補檔的合併之後,PVE 團隊立刻在同一時間就推進了 lxc-pve 套件的版本號,而且立即開放使用者更新。
PVE 版本更新
結論
對於 PVE 開發團重視安全的程度以及處理的時效,讓我們身為使用者感受到非常安心。儘管他是開源軟體,但是更新與修補的速度並沒有比較慢,在很多情況下甚至比閉源軟體還要快速。
類似的案例在過去也多次上演,例如 Intel CPU 的 Spectre & Meltdown 漏洞,甚至是更早之前的 SambaCry 等,都在上游套件發出更新修補後,PVE 在極快的時間內合併進入且發出更新。
除了推出更新與修補檔以外,更重要的是 PVE 一直以來的版本更新非常嚴謹,每次版本更新均相當順利,我從來沒有因為更新而造成虛擬機器停止服務,或是系統故障。
我想若每次更新都要要停機,或是需要很複雜的手續,或是都要靠運氣來賭更新會不會成功,這是很可怕的事,還好我選擇了 PVE,沒有這回事。
參考資料
- 容器執行元件runC含有安全漏洞,
波及Docker、containerd及CRI-O等眾多容器平台 | iThome
https://ithome.com.tw/news/128718
- [議程簡報]開放或封閉的安全之刃
http://blog.jason.tools/2018/07/twcsa2018-opensource-or-closesource.html
