Nul
Linus Torvalds, de maker van Linux, heeft nog nooit last gehad gaarne de onwijzen. In het bijzonder, hij heeft er echt een afkeer van mensen die het maken, verbeteren van de veiligheid van Linux meer problemen dan het hoeft te zijn. Meest recent, in zijn eigen bijzondere stijl, riep hij een aantal security-ontwikkelaars “f*cking idioten”. Maar, Torvalds, terwijl vaak kleurrijke, gaf ook de richting aan veiligheid programmeurs.
Het begon allemaal toen Torvalds nam Google Pixel ontwikkelaar Kees Kok, die hadden ingediend, een pull verzoek dat zou kunnen hebben veroorzaakt Linux kernel panics, aan de taak. Torvalds snauwde, “om Eerlijk te zijn, dit is het soort volstrekt onaanvaardbaar ‘veiligheid persoon’ probleem dat we hadden met de oorspronkelijke gebruiker toegang verharding aan te gaan, en maakte dat veel pijnlijker is dan het ooit had moeten zijn. HET IS NIET AANVAARDBAAR als de veiligheid van mensen ingesteld magische nieuwe regels, en vervolgens de kernel panic wanneer die nieuwe regels zijn geschonden.”
Hij herinnerde veiligheid programmeurs die “security problemen zijn gewoon fouten.” En dat security hardening patches zijn niet het gevolg van “in het doden van processen. Het enige proces dat ik ben geïnteresseerd in de _development_ proces, waar wij vinden van fouten en het oplossen van het probleem.”
Zijn positie is niet nieuw. In 2008 Torvalds schreef, “Voor mij is veiligheid belangrijk. Maar het is niet minder belangrijk dan die van alles *anders* dat is ook belangrijk!”
Torvalds is niet de enige die ziet dat ook zo. Jason Donenfeld, een onafhankelijke security-onderzoeker, zei op de Linux-Kernel Mailing List (LKML), “Sommige mensen spotten met andere security mensen obsessie met ‘security bugs’. De security-industrie is grotendeels geobsedeerd door het vinden (en verkopen/met/patches/rapportage/presentatie/opslag/detecteren/stelen) van deze ‘gevaarlijke/nuttig’ aantal fouten. En deze obsessie is voortdurend voldaan, omdat bugs blijven gebeuren — dat is gewoon de aard van de ontwikkeling van software — en dus is dit ‘security bug’ verliefdheid blijft.”
Dit is de belangrijkste reden dat we hebben eindeloze verhalen over de nieuwste Android, Windows, wat dan ook, gat in de beveiliging. Torvalds, voor een, heeft lange tijd ziek van.
Het is niet dat security bugs niet echt zijn, noch dat ze belangrijk zijn. Maar, de hemel valt niet zo vaak als kip-weinig beveiliging bedrijven en ontwikkelaars willen doen geloven.
Torvalds uitgelegd Donenfeld die van waar hij staat, wordt “Security-eerste mensen de neiging om de grote winst is als de [onzeker] de toegang is _stopped_. Dat is het einde van het verhaal vanuit het veiligheidsstandpunt.”
“Maar,” Torvalds verder, “van een ontwikkelaar standpunt, dingen _really_ gewoon niet gedaan. Niet eens in de buurt. Van een ontwikkelaar standpunt, de slechte toegang is slechts een symptoom, en het moet worden gerapporteerd, en de fouten opgespoord en verholpen, dus dat het probleem daadwerkelijk wordt opgelost. Dus, van een ontwikkelaar standpunt, het eindpunt van de verharding is slechts het begin punt, en wanneer _you_ denkt dat je klaar bent, we zijn echt alleen aan de slag.”
Dus hoe moet de veiligheid ontwikkelaars aanpak Torvalds bij het indienen van een patch?
Bekende security-en Linux-ontwikkelaar Matthew Garrett stelde die vraag aan Torvalds op de LKML. True, Garrett waargenomen, “Kees geleerd van die ervaring en voegde de standaard fallback-in reactie op het. Laat de beloning voor mensen om te leren uit het verleden problemen in plaats van te schreeuwen tegen hen.” Immers, Garrett verder, “Het aantal mensen dat bereid is om te werken aan veiligheid spul is beperkt genoeg om verschillende redenen, laten we proberen te houden van degenen die we hebben!”
Torvalds toegelaten hij was overwerkt en verontschuldigde hij zich. “Sorry voor de harde woorden.”
Dus wat doen de veiligheid ontwikkelaars doen bij het werken op Linux kernel code? Hier zijn Torvalds’ regels voor veiligheid ontwikkelaars:
Bij het toevoegen van verharding heeft, u als een beveiliging persoon moet altijd zien dat de verharding worden de _endpoint_, maar niet het directe doel.Bij het toevoegen van een verharding voorzien, de eerste stap moet *ALTIJD* “alleen het verslag van het”. Niet te doden, zelfs niet het stoppen van de toegang. Verslag. Niets anders.”Doe geen kwaad” moet je mantra voor een nieuwe verharding werk.
Als programmeurs zich aan deze regels, Torvalds zal zweren minder en minder fouten zal maken in de Linux kernel.
Verwante Artikelen:
Linus Torvalds: ‘ik heb geen vertrouwen in de veiligheid van mensen om gezond dingen’Linux schepper Linus Torvalds: Dit is wat mij drijft noten over HET securityLinus Torvalds zegt gerichte fuzzing is het verbeteren van Linux security
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters
0