【23.09】镜像包含冗余文件、冗余证书等非安全配置
一、缺陷信息
内核信息:
缺陷归属组件:
缺陷归属的版本:
缺陷简述:
【环境信息】
硬件信息
【问题复现步骤】,请描述具体的操作步骤
【实际结果】,请描述出问题的结果和影响
【其他相关附件信息】
具体问题单独发送
缺陷详情参考链接:
缺陷分析指导链接:
https:xxx
Hi saarloos, welcome to the openEuler Community.
I'm the Bot here serving you. You can find the instructions on how to interact with me at Here.
If you have any questions, please contact the SIG: sig-Yocto, and any of the maintainers: @ilisimin , @fanglinxu , @Wayne Ren
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
目前分析发现,master分支上openeuler-image.do_rootfs任务会使用dnf去安装ca-certicates,从而引入ca-certicates中大量的无用证书。而sp2分支上的opeuler-image.do_rootfs任务不会安装这个包。
通过对比两分支bitbake -g openeuler-image输出的任务依赖,不能明显看出相关差异。如下图,左边为master分支,右边为sp2分支:
这些证书是通过
certdata2pem.py 处理 certdata.txt 生成的,大量的各种各样的.cert文件
https://gitee.com/src-openeuler/ca-certificates/tree/openEuler-23.09/ 中也是类似的道理。
需要定义出哪些cert文件时必要的, 可以看一下openEuler Server的配置
另外,后续需要完成openEuler Embedded看如何对齐https://gitee.com/src-openeuler/ca-certificates/tree/openEuler-23.09/中的内容
登录 后才可以发表评论