Linux 開發團隊成立核心漏洞論壇
看起來是不錯的主意~ 不過相對 Server 的安全維護就是另一種壓力..
不過.. 這個論壇在哪裡???.. @.@a....
經過 jesse 大大開示: kernel security mailing list.
The end result will likely be the creation of an invite-only mailing list to which people can choose to report security problems.
以下轉載自: Linux開發團隊成立核心漏洞論壇
CNET新聞專區:Robert Lemos 03/02/2005
Linux核心開發人員本週成立安全郵寄清單,打算當作公布開放原始碼核心程式漏洞資訊用。
此一清單成立的宗旨源自於許多開放原始碼開發人員擔心每天收到那麼大量的郵件,有可能會漏掉了安全漏洞報告。
「我們希望盡量能保持開放,」開放原始碼開發實驗室Linux核心開發人Chris Wright表示,「有些人喜歡私下向我們報告安全漏洞,這個管道就是為此而設,同時也可避免我們漏看。」
該郵寄清單專門當作核心安全議題的聯絡出口。安全議題要怎麼公布一直是備受爭議的問題,不論是對開發團隊或軟體社群皆然。雖然有人認為公開軟體漏洞會商業整個網路的安全,但也有人認為漏洞多半是開發流程不良所致,同時也是程式人員不重視安全的結果。
目前商業軟體的作法是要求找到漏洞的安全研究人員先等到廠商開發出修補程式後才公布漏洞細節。但Linux原創者Linus Torvalds則認為這種作法不適合Linux開發。
「我個人比較偏好盡量透明的原則,」他最近接受CNET專訪時表示,「當然這種作法的前提是必須有一定的安全層次才行,也因此若自己心虛安全不夠的人就不希望太過透明化了。」
相較於一般商用軟體,或甚至是Linux廠商安全名單Vendor-sec的作法,此次Linux核心開發團隊顯然採取了開誠布公的作法。該團隊在一份草案聲明稿中寫到,「我們偏好立即將漏洞作完整的公布,若是漏洞比較複雜,或者解決方案還沒有測試妥當,或者廠商之間還沒協調好,那麼公布時間可能會稍有延遲,但我們預期這種延遲會越短越好,頂多數天,不會是數週或數個月。」(陳奭璁)