Список, о котором разработчики планируют объявить в ближайшее время, служит ответом на подозрения о том, что некоторые сообщения об уязвимостях теряются в большом количестве писем, направляемых в группу разработки ядра.
Список, о котором разработчики планируют объявить в ближайшее время, служит ответом на подозрения о том, что некоторые сообщения об уязвимостях теряются в большом количестве писем, направляемых в группу разработки ядра.
«Наша цель — сохранять процесс как можно более открытым, — сказал Крис Райт, разработчик ядра Linux из Open Source Development Labs . — Иногда программисты предпочитают сообщать о секьюрити-багах частным образом, чтобы до обнародования этой информации успеть оценить последствия и подготовить поправку. Список поможет гарантировать это и не даст таким сообщениям затеряться».
Список почтовой рассылки, который станет контактной точкой для сообщений о проблемах безопасности ядра, явился результатом нескольких недель споров по поводу того, насколько доступным он должен быть для широкой публики.
Вопрос обнародования информации о проблемах безопасности вызывает острые споры не только в группе разработке ядра, но и в сообществе программистов в целом. Одни утверждают, что разглашение сведений об ошибках в программах подрывает безопасность интернета, другие настаивают на том, что ошибки обычно бывают вызваны плохой организацией разработки и недостаточным вниманием к вопросам безопасности.
Практика, принятая в индустрии коммерческого ПО, состоит в требовании, чтобы эксперты, обнаружившие ошибки, дожидались, пока софтверная компания выпустит исправление, прежде чем обнародовать детали найденной уязвимости. Однако создатель оригинального ядра Linux Линус Торвальдс отвергает этот подход.
«Лично я предпочитаю максимально возможную открытость; она создает очень комфортные условия, — сказал он в недавнем интервью по e-mail CNET News.com. — Это требует достижения определенного уровня безопасности — и в то же время побуждает стремиться к нему, а те, кого в какой-то момент времени этот требуемый уровень безопасности начинает раздражать, восстают против открытости».
В отличие от производителей коммерческого ПО и даже от секьюрити-списка Vendor-sec, организованного поставщиками Linux, группа разработки ядра, похоже, решила следовать этому подходу открытости. В проекте заявления по поводу нового списка говорится: «Мы предпочитаем полностью раскрывать информацию о багах как можно оперативнее. Когда проблема или способ ее решения недостаточно понятны, решение как следует не оттестировано или нужно скоординировать действия поставщиков, действительно имеет смысл придерживать эту информацию. Однако мы ожидаем, что такие задержки будут короткими — считанные дни, а не недели или месяцы».
Источник: Zdnet.ru
Ладно, не доказали. Но мы работаем над этим