Zero
Linux kernel creatore Linus Torvalds: “‘non nuocere’ dovrebbe essere il vostro mantra per ogni nuovo lavoro di rafforzamento.”
Immagine: Aalto University/YouTube
Gli sviluppatori sono spesso accusati di non pensare alla sicurezza, ma il fondatore del kernel Linux, Linus Torvalds, ha avuto abbastanza della sicurezza delle persone che non pensano di sviluppatori e utenti finali.
Dopo la sabbiatura alcuni sviluppatori del kernel la scorsa settimana per uccidere i processi in nome di indurimento il kernel di Torvalds ha offerto una più misurata spiegazione per la sua frustrazione con sicurezza la miopia.
Mentre si concorda sul fatto che la presenza di più livelli di sicurezza nel kernel è una buona idea, certi modi di attuazione non sono, in particolare se si infastidisce gli utenti e gli sviluppatori da interruzione di processi che rompono gli utenti di computer’ e relitto core codice del kernel. Perché, in definitiva, se non ci sono utenti, non c’è molto, in un ambiente estremamente sicuro kernel di Torvalds si contende.
“‘Non nuocere’ dovrebbe essere il vostro mantra per ogni nuovo lavoro di rafforzamento,” Torvalds istruito gli sviluppatori di sicurezza, ricordando loro di vedere il quadro più grande.
“Tenere d’occhio l’endpoint, e che questo è solo il primo passo. È necessario non p** * * * s off utenti, ed è necessario non p** * * * s off sviluppatori”, ha detto.
“Perché, alla fine, gli utenti contano davvero. Senza quegli utenti, il sistema potrebbe essere ‘sicuro’, ma la sicurezza del lavoro era ancora solo la masturbazione. Non hai fatto nulla di utile a tutti, alla fine.”
Nella scorsa messaggio relativo a Google Pixel dello sviluppatore di indurimento focalizzato la richiesta di tirare, era infastidito dal fatto che non è stato testato correttamente, che ha capito che è a causa dell’atteggiamento che “la sicurezza è così importante che nothing else matters”.
Ha offerto un promemoria di ciò che significa, da diverse prospettive, quando una persona di sicurezza, ha trovato un accesso non valido. Per la sicurezza della persona, il lavoro fatto, ma per lo sviluppatore “il male di accesso è stato solo un sintomo, e deve essere segnalato, e il debug, e fisso, in modo che il bug viene corretto”.
Torvalds’ di consulenza per la sicurezza-concentrato collaboratori è quello di segnalare il bug, piuttosto che l’uccisione di un processo.
“Come sviluppatore, voglio il report. Ma se hai ucciso il programma utente nel processo, in realtà sto _less_ probabile che per ottenere il rapporto, perché il latente accesso era più probabile in alcune davvero rare e di brutto caso, o avremmo trovato. Nel kernel, c’è un’alta probabilità che si era in un driver, per esempio,” Torvalds ha spiegato.
“Perché è il kernel, e perché è un driver, è molto probabile che uccidere il colpevole volontà di fare cose cattive per vari casuale blocchi che si sono tenute, o forse questo accade in un interrupt e tutta la macchina ora è morto, se siamo sfortunati perché veramente ci sono alcuni core blocchi gestiti.”
Almeno una ben nota persona di sicurezza concordate con Torvalds valutazione.
Il ricercatore di sicurezza di Dino Dai Zovi sostenuto il punto di vista di Torvalds.
Immagine Di: Dino Dai Zovi/Twitter
Precedente e relativa copertura
Linus Torvalds: ‘non mi fido di sicurezza le persone a fare cose sane’
Il rilievo Linux engineer ha suggerito di modelli di approccio di sicurezza del kernel sono completamente sbagliato.
Linus Torvalds dice mirati fuzzing è migliorare la sicurezza di Linux
Linux 4.14 release candidate cinque. “Vai e prova,” dice Linus Torvalds.
Argomenti Correlati:
Linux
Cloud
Big Data Analytics
L’innovazione
Tecnologia e Lavoro
Collaborazione
0