PC Week/RE №1 (878) 2015 年 1 月 27 日
谢尔盖·斯特尔马赫| 2015 年 1 月 20 日
增加Torvalds 很高兴 Linux 内核在使自由软件更易于访问和开放方面发挥了重要作用
Torvalds 很高兴 Linux 内核在使自由软件更易于访问和开放方面发挥了重要作用
Linus Torvalds 在奥克兰(新西兰)举行的 Linux 开发者大会上概述了他对软件安全问题的看法。正如开源Linux内核的创建者所说,他支持一切与漏洞相关的内容被公开披露。 “有时人们更喜欢隐藏他们的问题,依靠供应商来解决。托瓦兹说:“虽然许多用户几十年来一直认为安全问题不应该报告,因为这样做只会帮助黑客,但我认为应该报告,并且在合理的时间内报告。” — Linux内核安全漏洞列表预计将在五个工作日内修复。有些人认为这个时间框架有点极端,因为在其他项目中可能需要一个月或几个月。无论如何,解决代码安全问题不再需要花费数年时间。”
另一位参会者、开源 Debian 项目技术委员会负责人 Bdale Gabi 对 Linux 基金会在监控代码基础设施方面的工作表示满意。 “这一举措将帮助我们吸引更多人来识别和修复我们代码基础设施中的安全漏洞。我们一致认为这是该准则最重要的元素之一。他说道:“已经有数家企业用户准备加入我们,这是一个可喜的进展。”
在谷歌和微软的冲突中,软件安全成为一个特别热门的话题。谷歌最近发布了有关 Windows 中一个新漏洞的信息,微软尚未修复该漏洞。这个“漏洞”存在于操作系统7和8.1两个版本中。它位于CryptProtectMemory函数中,用于加密内存中的数据,例如密码,以便其他用户无法读取。该漏洞由 Google Project Zero 贡献者 James Forshaw 于 2014 年 10 月 17 日发现。
根据 Google 致力于搜索流行软件 南非电报数据 漏洞的项目规则,所发现“漏洞”的信息将在发现并通知开发人员后 90 天内公布 - 无论开发人员是否发布更新。也就是说,谷歌没有等待微软原定于1月份发布的补丁发布,而是由于兼容性问题而没有这样做。作为同一项目的一部分,Google 公开披露了有关 Windows 8.1 中另一个漏洞的信息,以及针对该漏洞的利用方法(也是由 Forshaw 发现的)。这些举动激怒了微软,微软要求谷歌推迟这一举措。微软最终指责这家搜索巨头让谷歌的漏洞披露政策对用户造成了伤害。
发布会上,托瓦兹还表示很高兴Linux内核在创造自由软件方面发挥了重要作用,使得自由软件更加易于访问和开放。他对参与创建和分发开源软件的个人开发者和公司表示认可。