谷歌安全團隊的長期內核開發人員 Kees Cook 發布了一篇博客，呼吁各組織盡快將更多的工程師投入到上游 Linux 內核中，以提高開源安全。“與其只從每次一個 bug 的角度出發，先發制人的行動可以阻止 bug 產生不良影響。鑒于 Linux 是用 C 語言編寫的，它將繼續有一長串的相關問題。Linux 必須被設計成采取積極主動的措施來抵御它自己的風險。”

[[415554]]

博客內容指出，穩定的 Linux 內核版本每周都有近 100 個新的修復。面對如此高的變化率，供應商并不總是能夠獲得最新的修復，或者在某些情況下只是試圖挑選"重要"的修復。

很明顯，忽視所有修復是一個錯誤的"解決方案"，但這卻是供應商非常普遍的立場;他們認為他們的設備只是一個物理產品，而不是一個必須定期更新的混合產品/服務。對此，除了承認需要更多的上游內核開發人員外;谷歌方面還鼓勵供應商走上追逐最新的 Linux 穩定版或 LTS 版內核的路線，以便整合所有修復程序。

谷歌呼吁稱，希望可以有更多的工程師能更早地修復錯誤、進行代碼審查、從事測試和圍繞內核的基礎設施工作、以及從事安全和編譯器工具鏈開發。

“根據我們最保守的估計，Linux 內核及其工具鏈目前至少有 100 名工程師投資不足，因此每個人都應該將他們的開發人員人才聚集到上游。這是唯一能以合理的長期成本確保安全平衡的解決方案。”

更多詳情可查看官方博客。

本文轉自OSCHINA

本文標題：谷歌呼吁企業將更多工程師投入到上游 Linux 和工具鏈

本文地址：https://www.oschina.net/news/153822/linux-kernel-security-done-right