Новость: Linux: Обсуждение проблем информирования о дырах в безопасности ядра
(Категория: Linux)
Добавил Roman I Khimov
Пятница, 14 Январь 2005, 20:15
KernelTrap сообщает об интересной дискуссии, начатой Крисом Врайтом (Chris Wright) и прошедшей вчера-позавчера в lkml. Он предложил создать какое-либо централизованное место, куда направлялись бы отчеты об уязвимостях в безопасности ядра Linux, отметив, что он сам мог бы этим заняться. Такое место, например в виде листа, помогло бы отслеживать ошибки, там они бы не затерялись в груде других патчей и обсуждений, там можно было бы убедиться, что все вовремя закрыто и информация опубликована.
В обсуждении, в котором приняли участие Линус Торвальдс (Linus Torvalds), Эндрю Мортон (Andrew Morton), Алан Кокс (Alan Cox) и Марсело Тосатти (Marcelo Tosatti), были высказаны довольно разные мнения по вопросу того, как вообще следует собирать и подавать информацию об ошибках в безопасности ядра.
Во-первых, Линус, хотя, в целом ему и понравилась идея, добавил, что у него есть одно требование к этому листу - отсутствие каких бы то ни было ограничений на время публикации информации об уязвимостях, подобно ограничениям листа vendor-sec. Марсело, тем не менее, отметил, что какое-то время для синхронизации с вендорами все же необходимо, иначе они будут отставать. Линус снова отметил неприятие подхода vendor-sec, поскольку в этом случае длина ограничения на распространение информации зачастую диктуется "политикой", а не техническими причинами. Как считает Линус, технические причины могу позволить устанавливать разработчикам самим себе ограничение на некоторый период, но это должен быть разумный период (порядка нескольких дней, но не недель и уж точно не месяцев, как это иногда бывает в vendor-sec), хотя, на самом деле, его гораздо больше интересуют ограничения на распространение патча и его бы вполне устроила ситуация, когда информация об уязвимости на тот же разумный период отставала от уже выпущенного исправления.
По ходу дискуссии Линус настойчиво подчеркивал, что он предпочитает, чтобы все было открыто, сравнивая этот подход с подходом Microsoft и отмечая, что в Linux нет людей, занимающихся PR и боящихся раскачать лодку, просто в Linux лучше технологии и меньше ужасных ошибок в архитектуре, поэтому и меньше проблем. В то же время, он согласился с тем, что некоторые из тех, кто пишет отчеты о найденных ошибках, влияющих на безопасность, предпочтут все-таки писать в более приватный лист разработчиков, вместо того, чтобы писать в полностью открытый lkml, тем самым обеспечивая выход патча до того, как информация о дыре распространится. Поэтому, как отмечает Линус, у людей должен быть выбор.
Далее Крис сделал набросок документа по контактам в области безопасности и результатом всего этого этого обсуждения, скорее всего, станет создание закрытого листа, в который можно будет направлять найденные проблемы в безопасности. Причем, как отмечает Линус, его не интересует, будет использоваться этот лист или нет, но он должен существовать как выбор, и "пускай люди голосуют ногами".
Архив этой нити можно почитать на KernelTrap.
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1818 )
(Категория: Linux)
Добавил Roman I Khimov
Пятница, 14 Январь 2005, 20:15
KernelTrap сообщает об интересной дискуссии, начатой Крисом Врайтом (Chris Wright) и прошедшей вчера-позавчера в lkml. Он предложил создать какое-либо централизованное место, куда направлялись бы отчеты об уязвимостях в безопасности ядра Linux, отметив, что он сам мог бы этим заняться. Такое место, например в виде листа, помогло бы отслеживать ошибки, там они бы не затерялись в груде других патчей и обсуждений, там можно было бы убедиться, что все вовремя закрыто и информация опубликована.
В обсуждении, в котором приняли участие Линус Торвальдс (Linus Torvalds), Эндрю Мортон (Andrew Morton), Алан Кокс (Alan Cox) и Марсело Тосатти (Marcelo Tosatti), были высказаны довольно разные мнения по вопросу того, как вообще следует собирать и подавать информацию об ошибках в безопасности ядра.
Во-первых, Линус, хотя, в целом ему и понравилась идея, добавил, что у него есть одно требование к этому листу - отсутствие каких бы то ни было ограничений на время публикации информации об уязвимостях, подобно ограничениям листа vendor-sec. Марсело, тем не менее, отметил, что какое-то время для синхронизации с вендорами все же необходимо, иначе они будут отставать. Линус снова отметил неприятие подхода vendor-sec, поскольку в этом случае длина ограничения на распространение информации зачастую диктуется "политикой", а не техническими причинами. Как считает Линус, технические причины могу позволить устанавливать разработчикам самим себе ограничение на некоторый период, но это должен быть разумный период (порядка нескольких дней, но не недель и уж точно не месяцев, как это иногда бывает в vendor-sec), хотя, на самом деле, его гораздо больше интересуют ограничения на распространение патча и его бы вполне устроила ситуация, когда информация об уязвимости на тот же разумный период отставала от уже выпущенного исправления.
По ходу дискуссии Линус настойчиво подчеркивал, что он предпочитает, чтобы все было открыто, сравнивая этот подход с подходом Microsoft и отмечая, что в Linux нет людей, занимающихся PR и боящихся раскачать лодку, просто в Linux лучше технологии и меньше ужасных ошибок в архитектуре, поэтому и меньше проблем. В то же время, он согласился с тем, что некоторые из тех, кто пишет отчеты о найденных ошибках, влияющих на безопасность, предпочтут все-таки писать в более приватный лист разработчиков, вместо того, чтобы писать в полностью открытый lkml, тем самым обеспечивая выход патча до того, как информация о дыре распространится. Поэтому, как отмечает Линус, у людей должен быть выбор.
Далее Крис сделал набросок документа по контактам в области безопасности и результатом всего этого этого обсуждения, скорее всего, станет создание закрытого листа, в который можно будет направлять найденные проблемы в безопасности. Причем, как отмечает Линус, его не интересует, будет использоваться этот лист или нет, но он должен существовать как выбор, и "пускай люди голосуют ногами".
Архив этой нити можно почитать на KernelTrap.
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1818 )