Sicherheit von Roling Releases

Alle Rolling Release Systeme die ich kenne: (Arch, Manjaro, openSUSE Thumbleweed, Micro OS, Gentoo, etc) haben ein vorab Testing. Es ist auch unter Rolling Release selten das du eine Software "sofort" bekommst. Quasi Entwickler haut um 14:00 ein Release aus - bedeutet nicht das du um 15:00 das Update hast.

Ehrlicherweise verstehe ich aber auch deine Frage nicht ganz.

Der wäre aber auch ganz schnell weg vom Fenster wenn das rauskommt. Und glaube mir das kommt raus und das sehr schnell. So eine Fall gab es mal bei einer Android Rom im XDA Forum.

HelloWorld ich verstehe den Zusammenhang mit Rolling Release nicht. Wenn ich als Paketmaintainer bei Debian, Ubuntu oder Fedora arbeite kann ich das doch auch.

Naja auch ein Rolling Release installiert nicht automatisch Updates und auch hier gibt es wie bereits geschrieben einen Testing Zweig in dem die Software erst Mal getestet wird.

Außer der User hat es so eingestellt dass alle Updates automatisch installiert werden sollen.

Wenn jemand die Kontrolle darüber hat kann er auch andere Distributionen damit erreichen, er muss dass Update nur als Sicherheitsrelevant deklarieren.

Zitat von HelloWorld

Also könnte jemand der die volle Kontrolle über die Organisation hinter einem Rolling Release hat nicht wenn er wollte eine Schadsoftware als.Update raussenden?

Natürlich. Das würde aber auch klappen wenn es ein Stable Release wie zb. Mint oder Ubuntu ist. Ich habe deshalb auch Abstand genommen von Softwareinstallation aus Fremdquellen wie zB. PPA's.

Wer sich mal schaudern und staunen möchte, liest diese kurze Geschichte: --> Eine kleine Geschichte über fremde Paketquellen

Es muss nur ein höherer Versionsstand sein, dann wird das Paket bei den Automatischen Updates auf diese Version aktualisiert.

Was verstehst du unter "automatisch"?

Bei ArchLinux passiert - ausser du konfgurierst es so nichts automatisch. Es braucht ein Terminal Input (pacman -Syu)

Auch bei Thumbleweed aktualisiert sich nichts automatisch sondern über (zypper dup)

Wenn du dein RollingRelease Distro 8 Wochen nicht aktualisierst, hast du eben 8 Wochen alte Pakete.

Das einzige Rolling Release das per Default Auto-Updates macht (jedenfalls das einzige das ich kenne) ist openSUSE Micro OS bzw openSUSE Aeon und openSUSE Kalpa.

Dort passieren die Updates automatisch im Hintergrund, aber auch dort ist der Updatemechanismus nicht "oh neues Paket und neues Paket wird installier". Sondern Es wird einmal in der Woche ein Snapshot mit allen neuen Paketen aus dem Testing zweig gebastelt und quasi der ganze Snapshot als Update verteilt.

Zitat von kim88

Was verstehst du unter "automatisch"?

Ich hätte sagen sollen, es wird bei den Updates angeboten. Aber die Diskussion ist müssig ob das vorkommen kann.

Kater ich meinte auch eher HelloWorld und nicht dich da er ja meinte:

Zitat von HelloWorld

Aber dann wird es nicht automatisch installiert da.das ja Stable ist

Zitat von HelloWorld

z.B bei meinem Handy wo GrapheneOS drauf läuft sehe ich oft wenn ich mein Handy neugestartet habe eine Anzeige das gerade Updates installiert werden

Bei GrapheneOS vetraust Du aber auch Deinem Distributor (der die Pakete ja baut, testet, signiert und ausrollt), dass er keinen Blödsinn macht. Alle Google Updates gehen ja immer erst durch die Hände des GrapheneOS Projects, wo sie reviewed, entseucht und dann erst nach dem Testing an alle Nutzer ausgerollt werden. Und dafür sollten wir dankbar sein, denn dieses Verfahren hat uns GrapheneOS User vor dem Android 14 Debakel mit Multiuser-Profilen bewahrt, das viele Google User gnadenlos getroffen hat. Die GrapheneOS Entwickler hatten das Problem bei sich bereits vor dem Rollout von Android 14 gefixt und erst dann an ihre User ausgerollt, während Google noch dem Kopf im eigenen Hintern hatte. Standardmäßig ist jeder GrapheneOS User im Stable Channel für System Updates. Wer so risikofreudig ist, in den Alpha oder Beta Channel zu wechseln, der nimmt in Kauf, dass ein Update das System schrottet. Dann aber eher aus Gründen von Programmfehlern, als durch Sicherheitslücken.

Normalerweise liefern die Distributoren immer den Quelltext ihrer Pakete mit.

Wenn du dich sicherer fühlst kannst du die ja vorab durchgehen und prüfen.

Wenn du den binaries nicht traust, kannst du aus dem von dir geprüften Quellcode deine eigene Pakete bauen.

Das ist der Vorteil OpenSource du kannst selber den Quelltext ansehen, modifizieren und deine eigenen Binaries bauen.

Zitat von HelloWorld

Ich würde mich sicherer fühlen wenn ich Updates noch einmal selbst bestätigen müsste und dann 1en Tag warten könnte ob jemand etwas entdeckt

Es konterkariert das Konzept von GrapheneOS, aber Du kannst die automatischen Updates auch verhindern.

Variante 1: "System Updater" App deaktivieren. Um Updates zu erhalten, müsstest Du die App dann wieder aktivieren.
Varinate 2: Die Bandbreite des Updates auf z.B. "unmetered" stellen. Dann werden nur Updates geladen und installiert, wenn Du eine WiFi Verbindung hast.

In beiden Fällen erreichst Du Dein Ziel nur über Umwege und hast z.B. kein Changelog, bei dem Du jedes Update manuell bestätigen kannst. Die Infos zu den Updates musst Du Dir als GrapheneOS User aktiv besorgen: https://grapheneos.org/releases#changelog

Mangels aktueller Erfahrungen mit anderen Android ROMs, weiß ich nicht, wie andere ROMs das so handhaben. Ich komme ursprünglich vom iPhone.