Skaberen af Linux-kernen og Git har sagt, at sikkerhedsproblemer bør offentliggøres, ikke fejes under gulvtæppet, hvor leverandører kan lade dem være uløste i årevis.
Linus Torvalds har fortalt en Q&A session på Linux.conf.au at han er en stor tilhænger af at afsløre sikkerhedsspørgsmål offentligt.
Deler scenen med Bdale Garbee, formand for Debians tekniske komité, Samba-forfatteren Andrew "Tridge" Tridgell og kernel bidragyder Rusty Russell, Torvalds sagde fredag, at sikkerhed er et hårdt problem, og det er tilfredsstillende at se mere offentlighed afsløringer.
"Folk er nogle gange mindre villige til at børste problemet under måtten og overlade det til leverandører, der har afsløringer, såsom uendeligt lange afsløringstider," sagde han. "Jeg er en stor tilhænger af bare at afsløre, stadig lidt ansvarligt, men sikkerhedsproblemer skal offentliggøres - og der er mennesker, der argumenterer og har argumenteret i årtier, at man aldrig ønsker at tale om sikkerhedsproblemer, fordi det kun hjælper de sorte hatte -- og faktum er, at jeg synes, du absolut skal rapportere dem, og du skal rapportere dem i rimelig tid ramme.
Udvalgte
- Er Windows 10 for populær til sit eget bedste?
- 5 måder at finde det bedste sted at starte din karriere på
- Sådan vil generativ AI ændre koncertøkonomien til det bedre
- 3 grunde til, at jeg foretrækker denne $300 Android frem for Googles Pixel 6a
"Kernesikkerhedslisten [tidsramme] er ganske vist fem arbejdsdage, hvilket nogle mennesker synes er lidt ekstremt, og i andre projekter kan det være en måned eller et par måneder, men det er stadig meget bedre end de år og år med tavshed, som vi plejede at har."
Garbee sagde, at han er glad for at se aktiviteter som f.eks Linux Foundation kerneinfrastrukturinitiativ ske.
"Ideen om, at vi i det mindste prøver at finde ud af, hvordan vi kan få flere øjne på nogle af de ting, som vi alle er enige om, er nogle af de vigtigste elementer kode i vores infrastruktur, og at vi fandt, at virksomhedens medlemmer af vores udvidede fællesskab var villige til at gå foran for at hjælpe med at få det til at ske, er smukt fedt nok."
Torvalds' kommentarer kommer midt i en bølge af ord og afsløringer af fejl mellem henholdsvis Microsoft og Google. I sidste uge, a serie af Windows-sikkerhedsproblemer blev automatisk offentliggjort af Google, efter dets Project Zero 90-dages deadline var udløbet.
I et tilfælde sagde Microsoft, at en rettelse var indstillet til at blive frigivet to dage efter Googles automatiske offentliggørelse; og i en anden, Googles James Forshaw sagde at Microsoft havde planlagt en rettelse til en anden i denne måned, men den ville blive forsinket til februar takket være kompatibilitetsproblemer opdaget af Microsoft.
Microsoft sagde i en erklæring i weekenden, at de mener, at sikkerhedsforskere bør arbejde med softwarevirksomheder til privat at afsløre sårbarheder og arbejde sammen for yderligere at beskytte kunder. Chris Betz, seniordirektør for Microsoft Security Response Center, sagde i en blogindlæg at det, der er rigtigt for Google med sin offentliggørelsespolitik, ikke altid er det rigtige for kunderne.
"Selvom det følger Googles annoncerede tidslinje for offentliggørelse, føles beslutningen mindre som principper og mere som en 'gotcha', med kunderne dem, der kan lide som følge heraf," han sagde. "Vi opfordrer Google til at gøre beskyttelse af kunder til vores fælles primære mål."
I Q&A-sessionen på Linux.conf.au sagde Torvalds også, at han er glad for, at Linux-kernen spillede en rolle i at gøre fri software mere tilgængelig og åben.
AR + VR
- Disse $400 XR-briller gav min MacBook en 120-tommer skærm at arbejde med
- Jeg prøvede Apple Vision Pro, og det er langt foran, hvad jeg havde forventet
- De bedste VR-headset til spil, arbejde og mere
- Mød Apples AR/VR Vision Pro-headset: Pris, funktioner, udgivelsesdato og alt andet at vide
"Jeg tror faktisk, at en af de ting, som Linux har været rigtig god til... og dette kommer til at rejse et par hackles. Jeg kan godt lide open source, og jeg kan godt lide hele det her at arbejde sammen med kommercielle virksomheder, og hele denne forestilling om, at man ikke behøver at bagvaske folk, der også laver lukket kildekode," sagde han.
"Så for mig personligt er en af de store ting, jeg er glad for, at jeg var en del af gruppen, som prøvede at tage - og nu er det her, Tridge vil stå frem og giv det andet svar -- hvem forsøgte at tage netop denne os imod verdenstilgangen med fri software og gjorde den mere åben, ikke kun i navnet, men også acceptabelt for folk, der ikke nødvendigvis tror på vores værdier, men tror på, at vores model er bedre, og det er for mig noget, som Linux virkelig var medvirkende til.
"Samtidig er jeg også rigtig glad for Git, for jeg tror, at Git har spredt sig mere end kernen i nogle henseender, og måske vil jeg blive husket mere for Git end Linux. Vi får at se."