Linux 核心開發人員本周成立安全郵寄清單,打算當作公布開放源代碼核心程序漏洞信息用。
這種清單成立的宗旨源自於許多開放源代碼開發人員擔心每天收到那麼大量的郵件,有可能會漏掉了安全漏洞報告。
“我們希望盡量能保持開放,”開放源代碼開發實驗室Linux 核心開發人Chris Wright表示,“有些人喜歡私下向我們報告安全漏洞,這個渠道就是為此而設,同時也可避免我們漏看。”
該郵寄清單專門當作核心安全主題的聯絡出口。安全主題要怎麼公布一直是備受爭議的問題,不論是對開發團隊或軟件社區皆然。雖然有人認為公開軟件漏洞會商業整個網絡的安全,但也有人認為漏洞多半是開發流程不良所致,同時也是程序人員不重視安全的結果。
目前商業軟件的作法是要求找到漏洞的安全研究人員先等到廠商開發出修補程序後才公布漏洞細節。但Linux 發明者Linus Torvalds則認為這種作法不適合Linux 開發。
“我個人比較偏好盡量透明的原則,”他最近接受CNET專訪時表示,“當然這種作法的前提是必須有一定的安全層次才行,也因此若自己心虛安全不夠的人就不希望太過透明化了。”
相較於一般商用軟件,或甚至是Linux 廠商安全名單Vendor-sec的作法,此次Linux 核心開發團隊顯然采取了開誠布公的作法。該團隊在一份草案聲明稿中寫到,“我們偏好立即將漏洞作完整的公布,若是漏洞比較復雜,或者解決方案還沒有測試妥當,或者廠商之間還沒協調好,那麼公布時間可能會稍有延遲,但我們預期這種延遲會越短越好,頂多數天,不會是數周或數個月。”
