Nul
Linux-kernen skaber Linus Torvalds: “ikke at skade bør dit mantra om, at alle nye hærdning arbejde.”
Billede: Aalto University/YouTube
Udviklere er ofte beskyldt for ikke at tænke på sikkerheden, men Linux-kernen grundlægger Linus Torvalds har fået nok af sikkerhed for folk, der ikke tænker over, udviklere og slutbrugere.
Efter sprængning nogle af kerne-udviklere i sidste uge for at dræbe processer i navn af hærdning kernen, Torvalds har tilbudt en afmålt forklaring for sin frustration med sikkerhed nærsynethed.
Mens han er enig i, at det at have flere lag af sikkerhed i kernen er en god idé, at bestemte måder at gennemføre det ikke, især hvis det irriterer brugere og udviklere ved at dræbe processer, der bryder brugernes maskiner og vrag centrale kerne kode. Fordi i sidste ende, hvis der ikke er nogen brugere, er der ikke meget mening i at have en ekstremt sikker kerne, Torvalds gjort gældende.
“Ikke at skade bør dit mantra om, at alle nye hærdning arbejde,” Torvalds instrueret i sikkerhed udviklere, og minde dem om, at se det større billede.
“Hold øje på slutpunktet, og at dette er bare det første skridt. Du behøver ikke at s**s off-brugere, og du behøver ikke at s**s off-udviklere,” sagde han.
“Fordi i slutningen, de brugere, der virkelig betyder noget. Uden de brugere, dit system kan være ‘sikker’, men alle din sikkerhed arbejde var stadig lige onani. Du gjorde ikke noget anvendeligt i den sidste ende.”
I sidste uge ‘ s budskab om en Google-Pixel udvikler hardening-fokuseret trække anmodning, at han var irriteret over, at det ikke var testet ordentligt, som han gættede på var på grund af den holdning, at “sikkerhed er så vigtigt, at nothing else matters”.
Han tilbød en påmindelse om, hvad det betyder ud fra forskellige perspektiver, når en sikring person har fundet en ugyldig adgang. For sikkerheden person, jobbet er gjort, men til udvikleren “den dårlige adgang var blot et symptom, og det skal indberettes, og fejlrettet, og fast, således at fejlen rent faktisk bliver rettet”.
Torvalds’ råd til sikkerheds-fokuseret bidragydere er bare at rapportere fejl snarere end at dræbe en proces.
“Som udvikler, jeg ønsker rapporten. Men hvis du dræbt den bruger programmet i den proces, jeg er faktisk _less_ tilbøjelige til at få rapport, fordi den latente adgang var mest sandsynligt, i nogle virkelig sjældne og ubehagelig sag, eller vi ville have fundet det allerede. I kernen, er der en høj sandsynlighed for, at det var i en driver, for eksempel,” Torvalds forklaret.
“Fordi det er den kerne, og fordi det er en driver, er det meget sandsynligt, at drab gerningsmanden vil gøre dårlig ting til forskellige tilfældige låse, der blev afholdt, eller måske sker det i en interrupt, og hele maskinen er nu død, hvis vi er uheldige, fordi der virkelig var nogle meget centrale låse bliver afholdt.”
Mindst en velkendt sikkerhed person, der er aftalt med Torvalds’ vurdering.
Sikkerhedsekspert Dino Dai Zovi støttet udsigt over Torvalds.
Billede: Dino Dai Zovi/Twitter
Tidligere og relaterede dækning
Linus Torvalds: ‘jeg ikke stoler på sikkerheden folk til at gøre fornuftige ting”
Den fremtrædende Linux engineer har foreslået modeller bruges til at nærme sig kernen sikkerhed er helt forkert.
Linus Torvalds siger målrettet fuzzing er at forbedre Linux sikkerhed
Linux 4.14 release candidate fem er ude. “Gå ud og teste,” siger Linus Torvalds.
Relaterede Emner:
Linux
Cloud
Big Data Analytics
Innovation
Tech og Arbejde
Samarbejde
0