关于安全加固参数相关问题

[Zeno-sole]

发行版的包管理器一般都是默认添加了一些安全加固参数 deepin v23的参数如下图，各个项目中的cmakelist makefile等编译配置文件中就不用添加这些参数

也可以自行修改指定其他参数，rules文件中添加
参考链接：
https://wiki.debian.org/HardeningWalkthrough#Selecting_security_hardening_options
https://wiki.debian.org/Hardening

[BLumia]

若项目有覆盖默认参数的需求，那么所有安全加固以及优化参数的覆盖都应当在 rules 文件中进行，而不应当在项目 CMakeLists 文件中进行。对吧？是的话应该需要统计下目前在项目工程文件中指定此类参数的有哪些，然后由各个项目的维护人员去掉这些硬编码的额外参数。

[Zeno-sole]

若项目有覆盖默认参数的需求，那么所有安全加固以及优化参数的覆盖都应当在 rules 文件中进行，而不应当在项目 CMakeLists 文件中进行。对吧？是的话应该需要统计下目前在项目工程文件中指定此类参数的有哪些，然后由各个项目的维护人员去掉这些硬编码的额外参数。

是的，以免造成冲突，比如 有些项目-O2 -O3 -Ofast同时存在的问题

[Zeno-sole]

默认的看上图就行了，如果需要加到全局就需要讨论一下(不能乱加，不然有的上游项目会编译炸掉)

[wineee]

cmake 项目需要注意 CMAKE_BUILD_TYPE 会影响优化级别， 因此 deb 打包会主动传入 CMAKE_BUILD_TYPE=None，只使用 CXXFLAGS 的优化参数，在 rules 写 CMAKE_BUILD_TYPE=Release 会增加一个 -O3 ,

[Zeno-sole]

PIE参数默认不开启，如果需要打开 需要在rules 设置 export DEB_BUILD_MAINT_OPTIONS = hardening=+all

[wineee]

准确来说PIE参数只需要 export DEB_BUILD_MAINT_OPTIONS=hardening=+pie， 而 +all 是所有加固参数

也可以 export DEB_BUILD_MAINT_OPTIONS = hardening=+all,-pie 这种写法只禁用 pie

[Zeno-sole]

是的-all除了-pie还有个 -z now 参数