Os problemas de segurança precisam ser tornados públicos: Linus Torvalds

Linus Torvalds disse um Q & A sessão em Linux.conf.au que ele é um grande crente na divulgação de questões de segurança pública.

Dividindo o palco com Bdale Garbee, presidente da comissão técnica Debian, Samba autor Andrew “Tridge” Tridgell, e colaborador do kernel Rusty Russell, Torvalds disse na sexta-feira que a segurança é um problema difícil, e é gratificante ver divulgações mais públicas.

As pessoas estão menos dispostas, por vezes, para escovar o problema debaixo do tapete e deixar isso para os fornecedores que têm divulgações, como vezes infinito longo de divulgação “, disse ele.” Eu sou um grande crente em apenas divulgar, ainda um pouco responsável, mas a segurança problemas precisam ser tornados públicos – e há pessoas que argumentam, e têm argumentado há décadas, que você nunca quer falar sobre problemas de segurança porque isso só ajuda os chapéus pretos – eo fato é que eu acho que é absolutamente necessário para relatá-los, e você precisa relatá-los em um prazo razoável.

A lista de segurança do kernel [prazo] é reconhecidamente de cinco dias úteis, o que algumas pessoas pensam que é um pouco exagerado, e em outros projetos que poderia ser um mês ou um par de meses, mas que ainda é muito melhor do que os anos e anos de silêncio que estamos habituados a ter.

Garbee disse que está satisfeito de ver atividades como o núcleo iniciativa de infra-estrutura Linux Foundation acontecer.

A ideia de que estamos pelo menos tentando descobrir como obter mais olhos sobre algumas das coisas que todos nós concordamos são alguns dos elementos mais importantes de código em nossa infra-estrutura, e que encontramos os membros corporativos da nossa comunidade estendida disposto a aposta acima para ajudar a fazer isso acontecer, é muito legal.

comentários de Torvalds vêm em meio a uma disputa de palavras e divulgações de bugs entre Microsoft e Google, respectivamente. Na semana passada, uma série de questões de segurança do Windows foram divulgados publicamente automaticamente pelo Google após a sua prazo de 90 dias Project Zero passou.

Em um caso, a Microsoft disse que uma correção foi previsto para ser lançado dois dias após a divulgação automática do Google, e em outro, do Google James Forshaw disse que a Microsoft havia planejado uma correção para outro deste mês, mas seria adiada até fevereiro graças à compatibilidade problemas descobertos pela Microsoft.

Microsoft disse em um comunicado no fim de semana que acredita que pesquisadores de segurança devem trabalhar com empresas de software a divulgar privada vulnerabilidades e trabalhar juntos para proteger ainda mais os clientes. Chris Betz, diretor sênior da Microsoft Security Response Center, disse em um post de blog que o que é certo para o Google com a sua política de divulgação não é sempre certa para os clientes.

Embora através do seguinte mantém a linha do tempo anunciado pela Google para a divulgação, a decisão parece menos princípios e mais como uma ‘pegadinha’, com os clientes os únicos que podem sofrer como resultado “, disse ele.” Nós pedimos Google para fazer protecção dos clientes o nosso principal objetivo coletivo.

No Q & A sessão em Linux.conf.au, Torvalds também disse que está satisfeito que o kernel Linux desempenhado um papel na tomada de software livre mais acessível e aberto.

Por vezes, a solução mais profunda é mudar todo o problema.

“Na verdade, eu acho que uma das coisas que o Linux tem sido muito bom em … e isso vai levantar algumas penugens. Eu gosto de fonte aberta, e eu gosto de todo este trabalho em conjunto com as empresas comerciais, e toda essa noção de que você não é necessário para difamar pessoas que também fazem de código fechado “, disse ele.

Então, para mim, pessoalmente, uma das grandes coisas que eu sou feliz é que eu fazia parte do grupo, que tentou tomar – e agora, isto é, quando Tridge vai se levantar e dar a outra resposta – que tentou para levar isto muito a nós contra o mundo abordagem de software livre e tornou mais aberto, não apenas no nome, mas também aceitável para as pessoas que não necessariamente acreditam em nossos valores, mas acreditamos que o nosso modelo é melhor e que é, para mim , algo que o Linux era realmente instrumental na.

Ao mesmo tempo, eu estou realmente feliz com Git também, porque eu acho que Git se espalhou mais do que o kernel, em alguns aspectos, e talvez eu vou ser lembrado mais por Git do que o Linux. Veremos.

? Mercado M2M salta para trás no Brasil

Star Trek: 50 anos do futurismo positivo e comentário social bold; Microsoft de Superfície all-in-one PC disse a manchete lançamento hardware de Outubro; Hands on com o iPhone 7, novo Apple Watch, e AirPods; Google compra Apigee para $ 625.000.000

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer