【23.09】镜像包含冗余文件、冗余证书等非安全配置

【23.09】镜像包含冗余文件、冗余证书等非安全配置

一、缺陷信息

内核信息：

缺陷归属组件：

缺陷归属的版本：

缺陷简述：

【环境信息】
硬件信息

裸机场景请提供问题的硬件信息 aarch64 x86 arm
虚拟机场景请提供虚拟机的XML文件或配置信息
软件信息
OS版本及分支信息 master
内核信息
发现问题的组件版本信息
网络信息
如果有特殊组网，请提供网络拓扑信息

【问题复现步骤】，请描述具体的操作步骤
【实际结果】，请描述出问题的结果和影响
【其他相关附件信息】
具体问题单独发送

缺陷详情参考链接：

缺陷分析指导链接：
https：xxx

Hi saarloos, welcome to the openEuler Community.
I'm the Bot here serving you. You can find the instructions on how to interact with me at Here.
If you have any questions, please contact the SIG: sig-Yocto, and any of the maintainers: @ilisimin , @fanglinxu , @Wayne Ren

目前分析发现，master分支上openeuler-image.do_rootfs任务会使用dnf去安装ca-certicates，从而引入ca-certicates中大量的无用证书。而sp2分支上的opeuler-image.do_rootfs任务不会安装这个包。

通过对比两分支bitbake -g openeuler-image输出的任务依赖，不能明显看出相关差异。如下图，左边为master分支，右边为sp2分支：
Image description

这些证书是通过
certdata2pem.py 处理 certdata.txt 生成的，大量的各种各样的.cert文件
https://gitee.com/src-openeuler/ca-certificates/tree/openEuler-23.09/ 中也是类似的道理。

需要定义出哪些cert文件时必要的，可以看一下openEuler Server的配置
另外，后续需要完成openEuler Embedded看如何对齐https://gitee.com/src-openeuler/ca-certificates/tree/openEuler-23.09/中的内容

openEuler / yocto-meta-openeuler

内容风险标识

评论 (4)

openEuler / yocto-meta-openeuler .gitee-modal { width: 500px !important; }

内容风险标识