Linus Torvalds bekritiseert security aanpak
Kernel ontwikkelaar Chris Wright begon vorige week een discussie over het feit dat security problemen met de kernel op verschillende lijsten besproken worden, en dat het misschien handiger was als er een centraal aanspreekpunt zou komen wat onderzoekers zouden kunnen gebruiken. Linux ontwikkelaar Linus Torvalds heeft zich nu ook in de discussie gemengd en liet weten dat hij één lijst of aanspreekpunt een goed idee vindt, net als het beperken van toegang tot de lijst. Hij is het er niet mee eens dat security advisories onder embargo gepubliceerd worden, zodat aanbieders de tijd hebben om ze te verhelpen. "Ik denk dat kernel bugs zo snel als mogelijk verholpen moeten worden en dat uitstel alleen met excuses te maken heeft. En dat betekent dat zoveel mensen als mogelijk over security problemen moeten worden ingelicht. Bij een gesloten lijst is juist de kans aanwezig dat dingen verloren gaan of voor de verkeerde redenen vertraagd worden." aldus Torvalds in dit artikel.
IMHO al lang moeten zijn. Nu is het vaak lastig bij te
houden wie allemaal vulnerabilities in de kernel heeft
gevonden en in welke kernel versie (vanilla of distributie
specifieke versie) een bepaalde vulnerability verholpen is.
Ik ben ook zeker voor security advisories uitgegeven door
kernel.org met een duidelijke omschrijving van het probleem.
(FreeBSD advisories zijn een mooi voorbeeld.)
Het werd ook wel eens een keer tijd met het populairder
worden van Linux. Sterker nog, dit had al veel eerder moeten
gebeuren.
"I'd be very happy with a 'private' list in the sense that people wouldn't feel pressured to fix it that day," Torvalds wrote. "And I think it makes sense to have some policy where we don't necessarily make them public immediately in order to give people the time to discuss them."
Hij is niet per definitie tegen een semi-gesloten lijst
(bijvoorbeeld om eerst te bespreken wat de Beste Manier is
het probleem te fixen), hij is tegen een lijst die gesloten
is om de verkeerde redenen (bijvoorbeeld om trage
commerciele aanbieders lucht te geven).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
