Un cambio significativo en la gestión de vulnerabilidades de Linux está obligando a las empresas a replantear sus estrategias de seguridad. Greg Kroah-Hartman, jefe del Linux Kernel CNA, ha anunciado que el equipo del kernel ya no proporcionará puntuaciones CVSS para casi todas las correcciones de errores, debido a la variada forma en que se utiliza el kernel en diferentes entornos. Esta decisión elimina una herramienta de priorización tradicional para los equipos de seguridad, obligándolos a elegir entre un análisis manual exhaustivo (y costoso) o la aplicación inmediata de todas las actualizaciones (lo que puede generar 'Update Fatigue' o fatiga de actualizaciones).
La solución propuesta por el artículo es el uso de 'bootc', una herramienta que trata todo el sistema operativo como una imagen de contenedor. Esto permite actualizaciones atómicas, donde si una nueva versión falla una verificación de salud, se revierte automáticamente, mitigando el riesgo de las actualizaciones rápidas. Además, facilita el análisis de vulnerabilidades al enfocarse en los componentes dentro de la imagen del contenedor, integrando las actualizaciones en el proceso de CI/CD para automatizar el proceso y eliminar la ansiedad asociada a las actualizaciones del sistema operativo. El artículo aboga por tratar cada corrección de errores como relevante e integrar las actualizaciones como una política automatizada, en lugar de un proyecto manual.