億元級IT行業生態鏈
一站式解決方案提供商

24小時免費咨詢電話
010-52725243

新聞資訊

AJIA NEWS

Linus Torvalds談內核加固——不要傷害

來源:Solidot 發布日期:2017-11-24

阿甲科技Linus之父林納斯·托瓦茲

Linux 之父 Linus Torvalds 在內核郵件列表上詳細闡述了他對加固內核的看法,這一次他沒有用粗口,而是相當的平易近人。

Torvalds 說他同意在內核中整合多層次安全方案將單個 bug 被利用的風險最小化的觀點,但安全從業者與用戶和開發者在對待 bug 和安全上有著截然不同的立場。站在安全的角度,當你發現一個非法訪問,你減輕了風險,你就做出了出色的工作,你的加固是成功的,而你的工作也就完成了,你會說這不再是安全問題了,然后你會認為導致安全問題的 bug 不再是你的問題,因為非法訪問被阻止了。

但站在開發者的角度,事情根本就沒完,開發者認為非法訪問是一種癥狀,需要報告,調試,識別 bug 和修復。從開發者的角度來說,加固的終點其實是開發者的起點。從用戶的角度看,這又是另一種情況。幾乎每次曝出的安全問題,對他們來說并不是安全攻擊,只是一個潛在的 bug 被暴露而已。從安全角度看,加固補丁是將問題從“危險”轉為“良性”。但加固常常會帶來其它問題,本來他們并沒有真的碰到問題,但加固卻給他們造成了真正的問題,如可能導致工作流中斷。加固對三個不同的人群有著不同的意義。

內核開發的頭號原則是不要給用戶添堵,因為沒有用戶,你的程序是沒有意義的,你幾十年的開發工作是沒有意義的。最終安全也變得毫無意義。Torvalds 反復強調,安全人員不要傷害用戶和開發者,發現安全問題首先應該報告。

阿甲科技

歡迎訪問阿甲科技集團官方網站!
红牛网特码资料