谷歌安全團(tuán)隊(duì)的長(zhǎng)期內(nèi)核開(kāi)發(fā)人員 Kees Cook 發(fā)布了一篇博客，呼吁各組織盡快將更多的工程師投入到上游 Linux 內(nèi)核中，以提高開(kāi)源安全。“與其只從每次一個(gè) bug 的角度出發(fā)，先發(fā)制人的行動(dòng)可以阻止 bug 產(chǎn)生不良影響。鑒于 Linux 是用 C 語(yǔ)言編寫的，它將繼續(xù)有一長(zhǎng)串的相關(guān)問(wèn)題。Linux 必須被設(shè)計(jì)成采取積極主動(dòng)的措施來(lái)抵御它自己的風(fēng)險(xiǎn)。”

[[415554]]

博客內(nèi)容指出，穩(wěn)定的 Linux 內(nèi)核版本每周都有近 100 個(gè)新的修復(fù)。面對(duì)如此高的變化率，供應(yīng)商并不總是能夠獲得最新的修復(fù)，或者在某些情況下只是試圖挑選"重要"的修復(fù)。

很明顯，忽視所有修復(fù)是一個(gè)錯(cuò)誤的"解決方案"，但這卻是供應(yīng)商非常普遍的立場(chǎng);他們認(rèn)為他們的設(shè)備只是一個(gè)物理產(chǎn)品，而不是一個(gè)必須定期更新的混合產(chǎn)品/服務(wù)。對(duì)此，除了承認(rèn)需要更多的上游內(nèi)核開(kāi)發(fā)人員外;谷歌方面還鼓勵(lì)供應(yīng)商走上追逐最新的 Linux 穩(wěn)定版或 LTS 版內(nèi)核的路線，以便整合所有修復(fù)程序。

谷歌呼吁稱，希望可以有更多的工程師能更早地修復(fù)錯(cuò)誤、進(jìn)行代碼審查、從事測(cè)試和圍繞內(nèi)核的基礎(chǔ)設(shè)施工作、以及從事安全和編譯器工具鏈開(kāi)發(fā)。

“根據(jù)我們最保守的估計(jì)，Linux 內(nèi)核及其工具鏈目前至少有 100 名工程師投資不足，因此每個(gè)人都應(yīng)該將他們的開(kāi)發(fā)人員人才聚集到上游。這是唯一能以合理的長(zhǎng)期成本確保安全平衡的解決方案。”

更多詳情可查看官方博客。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：谷歌呼吁企業(yè)將更多工程師投入到上游 Linux 和工具鏈

本文地址：https://www.oschina.net/news/153822/linux-kernel-security-done-right