Además de que Fedora 38 ahora permite”no-omit-frame-pointer”para mejorar la creación de perfiles/depuración con posibles costos de rendimiento, esta próxima versión de Fedora Linux también planea usar las defensas del compilador”_FORTIFY_SOURCE=3″para reforzar aún más la seguridad.
El nivel _FORTIFY_SOURCE=3 permite detectar más desbordamientos de búfer y otros posibles problemas de seguridad. GCC 12 y Glibc 2.34 admitieron el nivel _FORTIFY_SOURCE=3 para detectar más problemas en tiempo de compilación y tiempo de ejecución, mientras que se encuentra en un estado lo suficientemente bueno como para que FESCo haya aprobado el nivel tres de fuente fortificada en sustitución del nivel dos como configuración predeterminada del compilador. Los desarrolladores creen que la cobertura de seguridad mejorada de _FORTIFY_SOURCE=3 bien vale la pena el pequeño costo general de rendimiento y el aumento del tamaño del código del nuevo nivel.
El Comité Directivo y de Ingeniería de Fedora aprobó la propuesta de cambio para usar”_FORTIFY_SOURCE=3″como parte de los indicadores predeterminados del compilador al crear paquetes para ayudar a mitigar los problemas de seguridad. Aunque algunos paquetes volverán a _FORTIFY_SOURCE=2, ya que paquetes como systemd actualmente tienen problemas con el nivel de fortificación más alto.
Los desarrolladores de Red Hat/Fedora creen que el mayor nivel de fortificación mejora la cobertura de mitigación en un factor de 2,4x y, en algunos casos, protege más de la mitad de las llamadas glibc fortificadas en las aplicaciones de destino. Fedora no es el primero en utilizar _FORTIFY_SOURCE=3 a nivel de distribución, pero openSUSE ALP está utilizando el nuevo nivel de forma predeterminada y es probable que el perfil reforzado de Gentoo también utilice este nuevo nivel.
Más detalles sobre este cambio de mayor seguridad a través de la Wiki de Fedora. Más en el blog de desarrolladores de Red Hat hay más información en general sobre este mayor nivel de fortificación con GCC.
