Nul
Linux kernel schepper Linus Torvalds: “‘Do no harm’ moet je mantra voor een nieuwe verharding werk.”
Afbeelding: De Aalto Universiteit/YouTube
Ontwikkelaars zijn vaak beschuldigd van het niet na te denken over de beveiliging, maar Linux kernel oprichter Linus Torvalds heeft genoeg gehad van de beveiliging van mensen die niet nadenken over de ontwikkelaars en eindgebruikers.
Na het stralen van kernel ontwikkelaars vorige week voor het doden van processen in de naam van de verharding van de kernel, Torvalds heeft aangeboden een meer gemeten verklaring voor zijn frustratie met de veiligheid bijziendheid.
Terwijl hij het ermee eens dat het hebben van meerdere lagen van beveiliging in de kernel is het een goed idee, een bepaalde manier van implementeren, in het bijzonder als het ergert gebruikers en ontwikkelaars door het doden van processen die breken de machines van gebruikers en het wrak core kernel-code. Want uiteindelijk, als er geen gebruikers zijn, is er niet veel zin in het hebben van een uiterst veilige kernel, Torvalds stelt.
“‘Do no harm’ moet je mantra voor een nieuwe verharding werk,” Torvalds geïnstrueerd veiligheid ontwikkelaars, hen eraan te herinneren om te zien grotere afbeelding.
“Houd uw oog op het eindpunt, en dat dit slechts de eerste stap. Je moet niet p**s van gebruikers, en u moet niet p**s uit ontwikkelaars,” zei hij.
“Want in het einde, die gebruikers echt uit. Zonder deze gebruikers, uw systeem kan worden ‘veilig’, maar uw veiligheid werken was nog maar masturbatie. Had je niet iets doen wat nuttig is in het einde.”
In de laatste week bericht over een Google-Pixel ontwikkelaar verharding-gericht pull verzoek, hij was geïrriteerd dat het niet goed getest, die hij geraden was te wijten aan de houding dat “veiligheid is zo belangrijk dat nothing else matters”.
Hij bood een herinnering van wat het betekent vanuit verschillende perspectieven wanneer een beveiliging persoon heeft gevonden ongeldige toegang. Voor de beveiliging van persoon, het werk gedaan is, maar voor de ontwikkelaar “het slechte toegang is slechts een symptoom, en het moet worden gerapporteerd, en de fouten opgespoord en verholpen, dus dat het probleem daadwerkelijk wordt gecorrigeerd”.
Torvalds’ advies aan die gericht zijn op beveiliging medewerkers is gewoon een verslag van de bug plaats van het doden van een proces.
“Als ontwikkelaar heb, wil ik het rapport. Maar als je gedood het programma door de gebruiker in het proces, ik ben eigenlijk _less_ kans te krijgen het rapport, omdat de latente de toegang is het meest waarschijnlijk in een aantal echt rare en vervelende zaak, of we het nu al. In de kernel, is er een hoge kans dat het in een stuurprogramma, bijvoorbeeld,” Torvalds uitgelegd.
“Omdat het de kernel, en omdat het een driver, het is zeer waarschijnlijk dat het doden van de dader zal doen slechte dingen met verschillende random sloten die werden gehouden, of misschien gebeurt het in een interrupt en de gehele machine is nu dood als we pech want er waren echt een aantal zeer core sloten wordt gehouden.”
Minstens één bekende security persoon overeengekomen met Torvalds’ beoordeling.
Security-onderzoeker Dino Dai Zovi achter de standpunten van de Torvalds.
Afbeelding: Dino Dai Zovi/Twitter
Vorige en aanverwante dekking
Linus Torvalds: ‘ik heb geen vertrouwen in de veiligheid van mensen om gezond dingen’
De prominente Linux engineer heeft gesuggereerd modellen gebruikt om de aanpak van de kernel beveiliging in zijn geheel onjuist.
Linus Torvalds, zegt gerichte fuzzing is het verbeteren van Linux security
Linux 4.14 release candidate vijf is uit. “Ga er op uit te testen,” zegt Linus Torvalds.
Verwante Onderwerpen:
Linux
Cloud
Big Data Analytics
Innovatie
Tech en Werk
Samenwerking
0