Linux: deweloperzy chcą cichego łatania dziur?

Na portalu Slashdot oraz liście dyskusyjnej Full Disclosure rozgorzała dyskusja dotycząca dziur w Linuksie. Dla wielu obserwatorów niezwykle niepokojąca była opinia Linusa Torvaldsa, że błędy (luki) związane z bezpieczeństwem należy łatać w ten sam sposób, jak inne bugi - bez szczególnego informowania społeczności, że właśnie je wyeliminowano.

Zdaniem Torvaldsa dziury związane z bezpieczeństwem nie powinny być oznaczane w żaden szczególny sposób. Jednak dla wielu osób jest to praktyka nie do przyjęcia. Brad Spengler z projektu Grsecurity uważa, że jest to zapewnianie bezpieczeństwa przez ukrywanie luk, co w zasadzie nie różni się od wykpionej przez specjalistów strategii "security through obscurity" (wpadł na niej również bank Pekao S.A.).

Spengler stawia sprawę jasno: ludzie powinni wiedzieć, że w kolejnych wersjach Linuksa naprawiono nie tylko błędy programistyczne, ale również załatano poważne luki. Dzięki temu mogą się świadomie zabezpieczyć - albo zrezygnować z instalowania uaktualnień na własne ryzyko.

Jak słusznie zauważa jeden z czytelników portalu Slashdot, problemy związane z bezpieczeństwem dotyczą zwykle olbrzymiej rzeszy użytkowników, podczas gdy zwykłe błędy dotykają garstki osób.

Warto przeczytać: "Linux's unofficial security-through-coverup policy" (w języku angielskim)


Zobacz również