Linus Torvalds 前些日子在其邮件列表上直接抨击了一些安全开发人员,并称“ Those security people are f*cking morons ”,其愤怒主要是针对 Google Pixel 安全团队的开发者 Kees Cook 。 事情起源于在关于 Linux Kernel 4.15 的功能讨论上,Kees Cook 递交了加固 usercopy 的 pull request,并敦促 Torvalds 尽快合并。Torvalds 则认为,此类的加固他通常会在最后才会考虑,因为加固触及到了核心东西,他需要时间去检查,而且他不相信安全开发者会做理智的事情,最初的 usercopy 加固就导致了很多问题。 Linus Torvalds 还明确表示不会在 4.15 中合并 usercopy 加固,他不想看到另一个加固导致的混乱。在邮件列表上的后续讨论中,Torvalds 称这些安全人员的许多行为是不可接受的,安全问题主要是 bug,加固项目应该将精力集中在调试上,这帮白痴“先杀再问问题”的做法是错误的。
不过在后续与另一位谷歌安全专家 Matthew Garret 的对话中,Torvalds 回应称虽然内核具有多层安全性是不错,但如果需要通过杀死用户机器和破坏核心内核代码的进程来惹恼用户和开发人员的话,那这并不是一个好主意。 因为最终,如果没有用户,那么拥有一个超级安全的内核是没有多大意义的。“我认为这些补丁的实际状态与默认警告相当不错。但我真正想看到的是不必太担心这些固化的东西。而且 4.15 的合并窗口实际上比预期的更大,甚至超过了 LTS 的 4.4,这是之前从来没有发生过的。这种加固会比以前更加痛苦。” Linus Torvalds 也就之前的过激言论表示了歉意。Torvalds 对以安全为重点的贡献者的建议是报告错误而不是杀死进程。 |
