Кроа-Хартман из Linux: мы не боремся с новыми разработчиками, узким местом является проверка кода

Специалист по сопровождению стабильной ветки ядра Linux Грег Кроа-Хартман заявил на онлайн-конференции Open Source Summit Europe, что новых разработчиков хватает, но узким местом в профессии остается ревью кода.

По словам Кроа-Хартмана, с каждым выпуском появляется около 200 новых разработчиков. Однако проблема состоит в том, что не хватает проверяющих.

Разработчик ядра отметил, что он должен проверять «более 700 патчей в неделю». Кроа-Хартман считает, что, если разработчик «хочет отправить патч, то нет причин, по которым он не должен проверять патчи других людей».

Разработчик рассказал о прогрессе в разрешении использования Rust для написания кода ядра. По его словам, ожидается «несколько интересных взаимодействий с имеющимися у нас объектами C».

Кроа-Хартман оценил использование Linux в критически важных для безопасности условиях. По его словам, системы на Linux уже управляют телекоммуникационными системами, фондовыми рынками, спутниками, используются в автомобильной промышленности.

В этом месяце специалист Google обнаружил почти во всех версиях Linux уязвимость в программном стеке Bluetooth BlueZ. Intel, которая курирует стек, заявила, что патч выйдет в версии 5.10, выпуск которой запланирован не раньше декабря. В Intel отметили, что уязвимость BleedingTooth «всего лишь» ведет к открытию информации и к изменению уровня привилегий на атакуемом устройстве, а последняя версия Linux 5.9 ей не подвержена.

Однако разработчик ядра Linux Мэтью Гаррет говорил, что Intel преуменьшает опасность уязвимости. Он выразил возмущение тем, что разработчиков дистрибутивов Linux не предупредили о проблеме до публикации официального отчета Intel.

Кроа-Хартман прокомментировал и эту историю. По его словам, «Intel не очень хорошо справляется с раскрытием информации».

Со своей стороны, производитель микросхем утверждает, что он следует практике скоординированного раскрытия информации, когда информация об уязвимости раскрывается публично только после того, как доступны меры по ее устранению. Однако компания собственноручно опубликовала подробности об уязвимости Bluetooth два месяца до выхода исправлений ядра Linux. Между тем дыра в безопасности позволяет злоумышленникам повысить привилегии до root на любых устройствах, использующих стек BlueZ.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»