Noll
Linux-kärnan skapare Linus Torvalds: “‘Gör ingen skada” bör vara ditt mantra för alla nya härdning arbete.”
Bild: Aalto-Universitetet/YouTube
Utvecklare är ofta anklagas för att inte tänka på säkerhet, men Linux-kärnan grundare Linus Torvalds har fått nog av säkerhet för människor som inte tycker om att utvecklare och slutanvändare.
Efter blästring vissa kernel utvecklare förra veckan för att döda processer i namn av härdning kärnan, Torvalds har erbjudit en mer genomtänkt förklaring till hans frustration med säkerhet närsynthet.
Samtidigt som han går med på att ha flera lager av säkerhet i kärnan är en bra idé, ett visst sätt att genomföra det är inte, i synnerhet om det retar användare och utvecklare genom att döda processer som bryter användarnas maskiner och vraket kärnan kärnan koden. Eftersom det i slutändan, om det inte finns några användare, det är inte mycket mening med att ha en ytterst säkra kärnan, Torvalds har gjort gällande.
“‘Gör ingen skada” bör vara ditt mantra för alla nya härdning arbete,” Torvalds i uppdrag säkerhet utvecklare, för att påminna dem att se större bild.
“Håll ögonen på slutpunkt, och att detta är bara det första steget. Du behöver inte s**s av användare, och du behöver inte s**s av utvecklare,” sade han.
“Eftersom i slutet, de användare som verkligen spelar någon roll. Utan dessa användare, kommer ditt system kan vara “säker”, men alla din säkerhet i arbetet var fortfarande bara onani. Du ville inte göra något nyttigt alls i slutet.”
I förra veckan ‘ s meddelande om ett Google Pixel utvecklare härdning fokuserad dra begäran, att han var irriterad över att det inte testas ordentligt, som han gissade var på grund av den attityd som “säkerhet är så viktigt att nothing else matters”.
Han erbjöd en påminnelse om vad det innebär att från olika perspektiv när en säkerhet som person har hittat en ogiltig tillgång. För säkerhets person, jobbet är gjort, men för utvecklare som “den dåliga tillgången var bara ett symptom, och att det måste rapporteras, och rättas till, och fast, så att felet blir faktiskt rättas till”.
Torvalds råd till säkerhet fokuserad bidragsgivare är att bara rapportera fel i stället för att döda en process.
“Som utvecklare, jag vill ha rapporten. Men om du dödade användarens program i processen, jag är faktiskt _less_ sannolikt kommer att få rapporten, eftersom den latenta tillgång var mest troligt i några riktigt ovanliga och obehagliga fallet, eller att vi skulle ha funnit det redan. I kärnan, det finns en hög sannolikhet att det var i en drivrutin som, till exempel,” Torvalds förklaras.
“Eftersom det är den kärnan, och eftersom det är en drivkraft, det är ganska troligt att döda gärningsmannen kommer att göra dåliga saker till olika slumpmässiga lås som hölls, eller kanske det sker ett avbrott och hela maskinen är nu död om vi har otur, eftersom det verkligen var några mycket grundläggande lås hålls.”
Minst en känd säkerhet person överens med Torvalds bedömning.
Säkerhet forskare Dino Dai Zovi backas upp de synpunkter Torvalds.
Bild: Dino Dai Zovi/Twitter
Tidigare och relaterade täckning
Linus Torvalds: “jag litar inte på säkerheten för människor att göra vettiga saker”
Den framträdande Linux-ingenjör har föreslagit modeller används för att närma sig kärnan säkerhet är helt fel.
Linus Torvalds säger riktade bråkat är att förbättra säkerheten i Linux
Linux 4.14 release candidate fem är ute. “Gå ut och testa, säger Linus Torvalds.
Relaterade Ämnen:
Linux
Cloud
Big Data Analytics
Innovation
Tech och Arbete
Samarbete
0