[Snoopy]

Цитата:

Уязвимости в ядре Linux и нужно ли их хранить в тайне.

После анонса 2.6.25.10 релиза стабильной версии ядра, Грэг Кроан-Хартмэн в сопроводительном тексте обратил внимание на то, что пользователи должны обязательно обновить ядро, не уточнив при этом причину. О том, что данная необходимость связанна с устранением многочисленных уязвимостей стало известно только спустя неделю, после публикации отчетов о проблемах безопасности на специализированных ресурсах.

Сделанный акцент на слове «обязательно» породил продолжительную дискуссию на тему, являются ли дефекты, связанные с безопасностью, какими-то особенными, а их исправление – «героическим» поступком.

Свое мнение высказал и Линус Торвальдс: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле, исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

По вопросу публикации обнаруженных уязвимостей мнения разработчиков тоже расходятся. Для документации проблем безопасности в начале 2005 года была создана специальная закрытая рассылка. Но единой точки зрения на проблему необходимости раскрытия всей информации об имеющихся недостатках до сих пор не выработано.

© OpenNews