O desenvolvedor de kernel de longa data, Kees Cook, da equipe de segurança do Google, publicou uma postagem no blog de segurança do Google hoje, pedindo efetivamente que mais organizações dediquem um número maior de engenheiros ao kernel Linux upstream para melhorar a segurança de código aberto.
Além de o Google apoiar a iniciativa Rust para o kernel Linux, eles também reconhecem que há um problema de mão de obra.
À medida que nos aproximamos de seu 30º aniversário, o Linux ainda continua sendo o maior projeto de desenvolvimento colaborativo da história da computação. A enorme comunidade em torno do Linux permite que ele faça coisas incríveis e funcione perfeitamente. O que ainda falta, porém, é foco suficiente para garantir que o Linux também corrija bem as falhas. Há uma forte ligação entre a robustez do código e a segurança: tornar mais difícil a manifestação de qualquer bug deixa mais difícil a manifestação de falhas de segurança. No entanto, esse não é o fim da história. Quando as falhas se manifestam, é importante tratá-las com eficácia.
Google pede que empresas disponibilizem mais engenheiros no desenvolvimento do Linux e conjuntos de ferramentas
O post observa que os lançamentos estáveis do kernel Linux têm cerca de 100 novas correções a cada semana. No entanto, dada a taxa de mudança, os fornecedores nem sempre estão pegando as correções mais recentes ou, em alguns casos, apenas tentando escolher as correções “importantes”. Além de reconhecer a necessidade de mais desenvolvedores de kernel upstream, a postagem também incentiva os fornecedores a buscarem as versões mais recentes do kernel estável do Linux ou LTS para incorporar todas as correções.
A postagem do blog de segurança do Google pede mais engenheiros para corrigir bugs mais cedo. Esses profissionais são necessários para a revisão do código. Além disso, mais engenheiros também são necessários para trabalhar em testes e infraestrutura em torno do kernel e também há uma escassez de engenheiros quando se trata de trabalhar na segurança e desenvolvimento de conjunto de ferramentas do compilador.
As estimativas conservadoras do Google indicam que o kernel Linux e suas cadeias de ferramentas estão “pouco investidos por pelo menos 100 engenheiros, então cabe a todos reunir seus talentos de desenvolvedor. Esta é a única solução que garantirá um equilíbrio de segurança a um custo razoável de longo prazo”.
O Linux deve ser projetado para tomar medidas proativas para se defender de seus próprios riscos.
A postagem completa agora deve estar ativa no Blog de segurança do Google.
Via Phoronix