Ubuntu, rust-coreutils 보안 감사 결과 공개 및 LTS 배포 논쟁
Ubuntu 26.04 LTS에 rust-coreutils를 기본으로 채택하기 전, Zellic의 독립적인 보안 감사(Independent Security Audit)를 실시함
감사 결과, 113개의 보안 문제(Security Issues)가 발견되었으며, 대부분 해결되었으나, cp, mv, rm은 GNU coreutils를 사용함
GNU coreutils 9.10 업데이트 지연(Update Delay)에 대한 질문과 LTS 릴리스에 대한 안정성 우려가 제기됨
커뮤니티에서는 코드 품질(Code Quality), 테스팅 방식(Testing Method), 점진적 도입 전략(Gradual Adoption Strategy)에 대한 다양한 의견 제시
보안 감사 결과 및 CVE 공개
Ubuntu는 rust-coreutils의 LTS 배포를 위해 Zellic과 협력하여 독립적인 보안 감사를 진행했다. 감사를 통해 113개의 보안 취약점이 발견되었으며, CVE(Common Vulnerabilities and Exposures)가 공개되었다. 특히, 시간-검사-시간-사용(TOCTOU, Time-of-check to time-of-use) 문제로 인해 cp, mv, rm은 GNU coreutils를 사용하며, 이는 보안 취약점(Security Vulnerability)을 최소화하기 위한 조치로 보인다.
GNU coreutils 업데이트 지연 및 LTS 릴리스 안정성
Ubuntu 26.04 LTS에 GNU coreutils 9.10 업데이트가 늦어진 이유에 대한 논의가 있었다. 이는 릴리스 안정성을 위해 Debian에서의 자동 동기화 컷오프 날짜를 준수해야 했기 때문이다. SRU(Stable Release Updates)를 통한 업데이트는 위험 부담으로 인해 신중하게 고려될 것이며, 이는 LTS(Long Term Support) 릴리스의 안정성을 유지하기 위한 전략으로 보인다.
코드 품질 및 개발 방식에 대한 커뮤니티 의견
커뮤니티에서는 rust-coreutils의 코드 품질에 대한 다양한 의견이 제시되었다. 일부에서는 기본적인 문제(Basic Issues)가 발견된 점을 지적하며, unwrap() 사용과 테스트 코드(Test Code)의 혼합을 비판했다. 반면, 오픈소스 프로젝트의 특성상 점진적인 개발 방식(Incremental Development)과 얼리 어답터(Early Adopter)의 기여를 통해 개선해 나가야 한다는 의견도 있었다.
점진적 도입 전략 및 생태계 성숙도
일부 의견에서는 rust-coreutils의 광범위한 기능 구현(Breadth-First Conversion)보다는 핵심적인 도구에 집중하여 안정성을 확보(Ensure Stability)하는 것이 중요하다고 강조했다. 또한, GNU coreutils와의 혼용은 호환성 문제(Compatibility Issues)를 야기할 수 있으며, 점진적인 도입을 통해 생태계의 성숙도를 높여야 한다는 의견이 제시되었다. 이는 기술 부채(Technical Debt)를 줄이고, 지속 가능한 개발(Sustainable Development)을 위한 전략으로 해석된다.
