Вопрос или проблема
Кажется, что landscape-client в настоящее время сообщает о проблемах безопасности только в случае установки из deb-пакета.
Если установлен из snap или на Ubuntu Core, кажется, что проблемы безопасности никогда не сообщаются.
Даже если в манифесте другого snap указано, что он содержит deb-пакеты с уязвимостями.
Ожидалось ли это?
Спасибо за вопрос.
Интеграция уведомлений CVE для snap в Landscape — это то, что мы осознаем и активно работаем над решением. Мы будем держать сообщество в курсе этой интеграции.
Для всех, кого интересует эта тема; издатели snap будут получать периодические уведомления по электронной почте от Snap Store о обновлениях безопасности в их snap. Письма уведомляют о наличии обновленных стадийных пакетов, и перестроение вашего snap решит указанные CVE.
Оставаясь в курсе через эти уведомления, вы можете гарантировать, что ваши пакеты snap останутся защищенными и актуальными.
Мы будем рады обсудить ваш конкретный случай и, возможно, поддержать его.
Ответ или решение
Вопрос о том, сообщает ли Landscape о проблемах безопасности для snap-пакетов, требует детального понимания текущей архитектуры Landscape и особенностей управления пакетами в операционной системе Ubuntu. Для начала изложим теоретические аспекты работы с (1) Landscape и (2) snap.
### Теория
#### Landscape и управление безопасностью
Landscape — это инструмент управления системами и серверами с поддержкой Ubuntu. Он предлагает множество функций для администратора, включая мониторинг состояния системы, обновления и управление пакетами. Когда мы говорим об отчетах по безопасности, Landscape исторически ориентировался на работу с Debian (deb) пакетами, которые используются в традиционных выпусках Ubuntu.
Deb-пакеты, установленные в системе, активно мониторятся на наличие известий о уязвимостях с использованием базы данных CVE (Common Vulnerabilities and Exposures), что позволяет автоматически уведомлять администраторов о наличии потенциальных угроз.
#### Snap пакеты и безопасность
Snap — это новый формат пакетов, используемый Ubuntu для обеспечения изоляции приложений и упрощения процесса установки. В отличие от deb, snap-пакеты работают в контейнерах и включают все необходимые зависимости. Это позволяет минимизировать конфликты и повышает уровень изоляции. Однако, такой подход влечет за собой особые требования к управлению уязвимостями, так как snap-пакеты автономны и обновляются через Snap Store.
### Примеры и реальные применения
На текущий момент, как указано в описании проблемы, Landscape еще не имеет встроенной возможности для мониторинга snap-пакетов на предмет уязвимостей. Это связано с тем, что основная инфраструктура этот мониторинг дебов по сути ориентирована на работу с более традиционными системами управления пакетами, в то время как snap имеет свою собственную модель оповещений и обновлений. Snap Store уведомляет разработчиков через регулярные e-mail о наличии обновленных библиотек, содержащих исправления уязвимостей. Таким образом, ответственность за поддержание безопасности snap-пакетов в актуальном состоянии в большей степени лежит на самих разработчиках пакетов.
Пример: Компания, использующая как deb, так и snap-пакеты на своих серверах. Для deb-пакетов, Landscape предоставит своевременные уведомления о необходимости обновления из-за уязвимости. Для snap-пакетов, компания будет полагаться на уведомления от Snap Store, а дальнейшее обновление будет выполнено вручную путем пересборки пакета.
### Применение знаний
Если вы администрация ИТ-инфраструктуры, состоящей из серверов Ubuntu и использующей комбинацию deb и snap пакетов, важно понимать ограничения текущих методов мониторинга и обновления для обеспечения максимального уровня безопасности. Поскольку интеграция сообщения о CVEs в snap-пакетах в Landscape пока разрабатывается, важно наладить собственные процессы управления обновлениями snap-пакетов. Ключевые значения тут имеет мониторинг email-уведомлений от Snap Store и регулярный аудит конфигурации snap-пакетов на наличие новых версий.
Для будущего, компания Canonical активно работает над решением этой задачи. По мере разработки инструменты будут совершенствоваться, обеспечивая более полную интеграцию сообщений о безопасности для snap в Landscape. Это потребует усилий по обучению сотрудников и, возможно, разработке внутренних регламентов на тему обновлений и мониторинга безопасности snap пакетов.
Подводя итог, хотя Landscape на данный момент не предоставляет полноценный механизм для мониторинга уязвимостей в snap-пакетах, существует план его интеграции, и активное использование препродоставляемых Snap Store инструментов крайне важно для обеспечения безопасности ваших приложений и данных.