- 简介开源软件越来越被重用,修补漏洞变得更加复杂。在Linux的情况下,形成了一个独特的生态系统,其中Linux mainline作为上游,稳定版或长期支持(LTS)系统从mainline分支出来,Linux发行版(如Ubuntu和Android)作为下游从稳定版或LTS系统分支出来供最终用户使用。理想情况下,当一个补丁被提交到Linux上游时,不应引入新的漏洞,并且应及时移植到所有适用的下游分支。然而,在以前的工作中,人们对这个Linux生态系统中补丁移植的响应能力提出了几个问题。在本文中,我们通过挖掘软件仓库来研究一系列Linux发行版与Linux稳定版和LTS的组合,发现了不同的补丁移植策略和能力水平,这有助于解释这种现象。此外,我们使用三个指标,即补丁延迟、补丁速率和漏洞继承比率,具体展示了不同移植策略的不同权衡。我们发现提示标签(例如Cc稳定标签和修复标签)对于及时的补丁移植非常重要,但值得注意的是,相当大一部分补丁仍然缺乏这些指示性标签。最后,我们根据对一般补丁流的分析提供建议,例如生态系统中各方利益相关者之间的互动和提示标签的自动生成,以及针对特定移植策略的定制建议。
- 图表
- 解决问题研究Linux生态系统中的补丁移植问题,探究不同的移植策略和能力水平对补丁移植的影响。
- 关键思路通过挖掘软件代码库,研究Linux发行版与Linux稳定版和LTS的结合,发现不同的移植策略和能力水平对补丁移植的影响,并提出一些相应的建议。
- 其它亮点使用三个指标(补丁延迟、补丁率和错误继承比率)评估不同移植策略的优劣,发现提示标签对及时移植非常重要,但是仍有很多补丁缺乏这些标签。为不同的移植策略提供了一些具体的建议。
- 相关研究包括:1.针对Linux补丁移植的自动化工具的研究;2.针对Linux生态系统中不同参与者之间协作的研究。
沙发等你来抢
去评论
评论
沙发等你来抢