Выступая на конференции для разработчиков Linux, которая прошла в г. Окленд (Новая Зеландия), Линус Торвальдс обозначил своё видение ситуации, связанной с проблемами безопасности ПО. Как сказал создатель открытого ядра Linux он сторонник того, чтобы всё, касающееся уязвимостей, было публично обнародовано. «Иногда люди предпочитают скрывать свои проблемы, полагаясь на то, что их решат вендоры. Несмотря на то, что многие пользователи на протяжении десятилетий утверждали, что никогда не нужно говорить о проблемах безопасности, потому что в противном случае это только помогает хакерам, я думаю, что о них необходимо сообщать, причем делать это в разумные сроки, — сказал Торвальдс. — Список брешей безопасности ядра Linux предполагает их устранение на протяжении пяти рабочих дней. Некоторые люди думают, что такие сроки немного экстремальные, так как в других проектах это может занять месяц или пару месяцев. В любом случае, теперь решение проблем безопасности кода не занимает целые годы».

Ещё один участник конференции, глава технического комитета открытого проекта Debian Бдейл Габи, выразил удовлетворенность работой Linux Foundation по мониторингу инфраструктуры кода. «Эта инициатива поможет нам задействовать больше людей для выявления и устранения брешей в безопасности инфраструктуры кода. Мы пришли к единому выводу, что это является одним из важнейших элементов кода. К нам готовы присоединиться несколько корпоративных пользователей, что можно только поприветствовать», — сказал он.

Безопасность софта стала особенно актуальной темой на фоне конфликта между Google и Microsoft. Недавно Google опубликовала информацию о новой уязвимости в Windows, которую Microsoft не успела устранить. «Дыра» содержится в двух версиях операционной системы — 7 и 8.1. Она находится в функции CryptProtectMemory, служащей для шифрования данных в памяти, например, паролей, чтобы их не смогли прочитать другие пользователи. Уязвимость была найдена участником проекта Google Project Zero Джеймсом Форшоу 17 октября 2014 г.

По правилам проекта Google, посвященного поиску уязвимостей в популярном ПО, информация о найденных «дырах» публикуется спустя 90 дней после ее обнаружения и уведомления разработчика — неважно, выпустил он обновление или нет. То есть Google не стала дожидаться выпуска патча, который Microsoft должна была выпустить в январе, но не сделала этого из-за возникших с совместимостью проблем. В рамках этого же проекта Google публично раскрыла сведения о другой уязвимости в Windows 8.1, а также эксплойт к ней (она также была обнаружена Форшоу). Эти действия вызвали недовольство Microsoft, поскольку она просила Google повременить с этим шагом. В итоге Microsoft обвинила поискового гиганта в том, что политика Google в отношении раскрытия информации об уязвимостях вредит пользователям.

В ходе конференции Торвальдс также сказал, что удовлетворен тем, что ядро Linux сыграло важную роль в создании свободного ПО, сделало его более доступным и открытым. Он выразил признание как отдельным разработчикам, так и компаниям, которые вовлечены в создание и распространение открытого ПО.


Версия для печати (без изображений)