Temos um conjunto de servidores Linux que nossos desenvolvedores usam para compilar software para nossos produtos que vendemos. No momento, estamos em um impasse entre nosso pessoal de segurança de rede dizendo que os servidores precisam ser corrigidos e os desenvolvedores afirmando que o patch mudaria os binários finais produzidos pelo servidor de compilação.
Não consigo encontrar nenhuma informação online sobre como corrigir servidores de compilação e gostaria de saber se mais alguém aqui está na mesma situação e como você resolveu isso?
Esta é uma pergunta difícil, e não há realmente uma boa resposta.
De um ponto de vista de alto nível, a resposta correta é "Isole este sistema de fontes externas e anote em seu plano de segurança que este servidor não pode ser acessado de nada além de uma sub-rede específica e fortemente protegida contra incêndio". Isso provavelmente torna a vida dos desenvolvedores mais difícil, mas deve satisfazer a segurança e eles no final do dia.
Do ponto de vista de "tentar vencer em ambas as direções", você pode, dependendo dos métodos/desejos de sua equipe de segurança e como o software de desenvolvimento está configurado, criar uma espécie de "árvore de diretórios de compilação" onde você tem uma compilação estática de bibliotecas usadas para os desenvolvedores, que são construídos separados daqueles que o sistema operacional usa.
IE, em vez de fazer com que os desenvolvedores usem /usr/lib/* como fonte de bibliotecas para suas compilações, crie um diretório /build/lib" e recompile uma fonte estática para todos esses itens....
No final do dia, porém, a resposta real é. Se os desenvolvedores precisam de um sistema estático sem correção para o software criar, alguém de alto escalão precisa assinar algo que diga "sim, teremos que arriscar"