Noll
Linus Torvalds, skaparen av Linux, har aldrig drabbats av dårar gärna. I synnerhet har han verkligen ogillar människor som göra att förbättra säkerheten i Linux mer problem än det behöver vara. Senast, i sin egen ovärderlig stil, han som kallas vissa säkerhets-utvecklare “f*kung idioter”. Men, Torvalds, medan ofta färgstarka, också gav riktning för att säkerhet programmerare.
Det hela började när Torvalds tog Google Pixel utvecklare Kees Cook, som hade lämnat in en pull request som kan ha orsakat Linux-kernel får panik, att uppgiften. Torvalds morrade, “Ärligt talat, detta är den typ av helt oacceptabelt “säkerhet person” – beteende som vi hade med den ursprungliga användaren tillgång härdning också, och har gjort så mycket mer smärtsamt än det någonsin borde ha varit. DET ÄR INTE ACCEPTABELT när säkerheten människor som magiska nya regler, och sedan göra kärnan att få panik när de nya reglerna överträds.”
Han påminde säkerhet programmerare som “säkerhet problem är bara fel.” Och, som säkerhet härdning fläckar får aldrig leda till “att döda processer. Den enda process som jag är intresserad av är _development_ process, där vi hittar buggar och fixa dem.”
Hans position är inte ny. I 2008, Torvalds skrev, “Till mig, säkerhet är viktigt. Men det är inte mindre viktigt än allt *annat* det är också viktigt!”
Torvalds är inte den enda som ser det på det sättet. Jason Donenfeld, en oberoende säkerhet forskare, sade på Linux-Kernel Mailing List (LKML), “en Viss trygghet att folk hånar andra människors säkerhet besatthet med “säkerhet buggar’. Säkerhetsbranschen är i hög grad besatt av att hitta (och sälja/använda/patchning/redovisning/utställning/lagring/upptäcka/stjäla) dessa “farliga/användbar” mängd buggar. Och denna besatthet är ständigt uppfyllda eftersom fel att hålla händer-vilket är precis den typ av utveckling av programvara — och så denna “säkerhet bugg’ förälskelse fortsätter.”
Detta är den största anledningen till att vi har oändligt många historier om de senaste Android -, Windows -, vad -, säkerhets hål. Torvalds, för en, har länge varit trött på detta.
Det är inte så att säkerhetsfel som inte är verkliga eller att de är viktiga. Men himlen inte faller nästan lika ofta som chicken little-säkerhet-företag och utvecklare skulle få er att tro.
Torvalds förklarade att Donenfeld att från där han står, “Säkerhet-för det första människor tenderar att se den stora vinsten är när [osäker] fi är _stopped_. Det är slutet på historien från säkerhetssynpunkt.”
“Men,” Torvalds fortsätter: “från en utvecklare synvinkel, saker _really_ bara inte gjort. Inte ens nära. Från en utvecklare synvinkel, är den dåliga tillgången var bara ett symptom, och att det måste rapporteras, och rättas till, och fast, så att felet faktiskt blir rättad. Så, från en utvecklare synpunkt, i slutet av härdning är bara början, och när _you_ tror att du är klar, vi är verkligen bara komma igång.”
Så hur ska säkerhets-utvecklare strategi Torvalds när de lämna en lapp?
Känt trygghet och Linux-utvecklare Matthew Garrett ställde frågan till Torvalds på LKML. Sant, Garrett observerade, “Kees lärt mig av denna erfarenhet och lagt till den standard som reserv i följd av den. Låt oss belöna människor för lärande från tidigare problem snarare än skriker på dem.” Efter alla, Garrett fortsatte: “antalet människor som är villiga att arbeta på säkerheten grejer är begränsad nog för olika anledningar, låt oss försöka behålla de vi har!”
Torvalds erkände att han hade varit överarbetad och han bad om ursäkt. “Ledsen för starka ord.”
Så vad gör säkerhet utvecklare gör när man arbetar i Linux-kärnan koden? Här är Torvalds ” regler för säkerhet utvecklare:
När du lägger till härdning har du en säkerhet som person bör alltid se till att härdning för att vara _endpoint_, men inte det omedelbara målet.När du lägger till härdning har, bör det första steget *ALLTID* vara “bara rapportera det”. Inte döda, inte ens att stoppa tillträde. Rapportera det. Inget annat.”Gör ingen skada” bör vara ditt mantra för alla nya härdning arbete.
Om programmerare hålla sig till dessa regler, Torvalds kommer att svära mindre och färre buggar kommer att göra det i Linux-kärnan.
Relaterade Artiklar:
Linus Torvalds: “jag litar inte på säkerheten för människor att göra vettiga saker’Linux skapare Linus Torvalds: Detta är vad som driver mig galen om DET securityLinus Torvalds säger riktade bråkat är att förbättra säkerheten i Linux
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0