Torvalds ma dość gadania o bezpieczeństwie

"Mam już dość tego całego cyrku z bezpieczeństwem, szumu medialnego wokół doniesień o kolejnych błędach i rozdmuchiwania tego zjawiska przez specjalistów ds. zabezpieczeń" - stwierdził Linus Torvalds, twórca kernela Linuksa, w rozmowie z dziennikarzem magazynu Network World.

Nowe wypowiedzi Torvaldsa są nawiązaniem do jego deklaracji z ubiegłego miesiąca, kiedy to oświadczył na jednym z forów internetowych: "Nie zamierzam przejmować się tym całym "cyrkiem bezpieczeństwa", w którym gloryfikuje się specjalistów ds. zabezpieczeń, tylko dlatego, że łatają luki związane z bezpieczeństwem - tak, jakby osoby łatające zwykłe błędy w aplikacjach były mniej ważne. Ja na przykład sądzę, że osoby rozwiązujące standardowe problemy w oprogramowaniu są znacznie ważniejsze - choćby dlatego, że takich błędów jest w programach znacznie więcej niż luk związanych z bezpieczeństwem". Torvalds dość ostro - aczkolwiek w swoim stylu - zaatakował też społeczność rozwijającą projekt OpenBSD (w założeniu: ultra bezpieczny system operacyjny): "Myślę, że ta cała ekipa OpenBSD to po prostu banda masturbujących się małp - cały czas gadają o bezpieczeństwie i myślę, że doszli już do punktu, w którym nic innego się dla nich nie liczy"

W tym tygodniu Torvalds przyznał, że jego wypowiedź mogła być odrobinę zbyt ostra - stwierdził z ubolewaniem, że tylko jeden znany mu uczestnik projektu OpenBSD uznał ją za zabawną. Dlatego też w rozmowie z Network World postanowił wyjaśnić, dlaczego tak irytuje go ostatnio ustawiczne gadanie o bezpieczeństwie.

Jego zdaniem zbyt często specjaliści ds. bezpieczeństwa wstępują do jednego z dwóch obozów: pierwszego, który wyznaje zasadę, że wszystkie luki należy zatajać możliwe najdłużej (przynajmniej do czasu ich załatania) lub drugiego, który chce zawsze jak najszybciej upublicznić informację o luce, ponieważ tylko to jest w stanie zmusić opieszałych producentów oprogramowania do szybkiego zajęcia się problemem. Zdaniem twórcy Linuksa, oba te podejścia są, delikatnie rzecz ujmując, niepoważne (Torvalds użył słowa "crazy").

Jego zdaniem żadne z tych podejść nie jest w 100% właściwie, a główna aktywność członków obu obozów sprowadza się do ostrego krytykowania drugiej formacji. "Optymalne jest rozwiązanie pośrednie - błędy trzeba łatać jak najszybciej, ale bez wielkiego upubliczniania i zamieszania medialnego. Nie ma co robić z tego wielkiego wydarzenia" - tłumaczył.

Torvalds stwierdził też, że nie bardzo widzi sens w szczegółowym oznaczaniu, które uaktualnienia dla Linuksa usuwają luki w zabezpieczeniach. "Jaka jest korzyść z takiego oznaczania? Oprócz, rzecz jasna, dostarczenia agencjom PR materiałów do promowania swoich produktów? Uważam to całe zjawisko za zbędne. To po prostu strata sił i czasu" - mówił twórca kernela.

Torvalds podkreślił, że lista dyskusyjna, na której rozmawia się o problemach z bezpieczeństwem Linuksa (nowych lukach itp.) jest i pozostanie zamknięta dla zwykłych użytkowników. "U nas nie musi nastąpić żaden wyciek informacji do mediów, żeby jakiś problem z bezpieczeństwem został usunięty. Mamy za to zasadę pięciodniowego embargo - jeśli w tym czasie luka nie zostanie usunięta, informacja o problemie może zostać przekazana dalej. Aczkolwiek również wtedy staram się ją przekazywać tylko tym osobom, którym informacje te naprawdę są potrzebne" - podsumował.


Zobacz również