谷歌抨击Linux内核称其需要大量安全投资

谷歌从安全角度强调了它所说的Linux内核的缺陷，以及这些为将内核引入产品的下游供应商带来的问题。在一篇博客文章中，来自 Google 开源安全团队的 Kees Cook 将 Linux 内核与 1960 年代的汽车工业进行了比较，目的是让我们明白，虽然内核运行完美无缺，但一旦出现故障，就会悲惨地分崩离析。

“围绕 Linux 的庞大社区使其能够做出惊人的事情并顺利运行。然而，仍然缺少的是足够的注意力来确保 Linux也能很好地失败，”库克写道。

库克表示，他认为这个问题是两方面的。首先，Linux 需要投资以确保其代码健壮，这将确保错误不会以目前的速度出现。但是，当他们这样做时，也应该以比目前的安排更有效的方式来处理。

库克分享了“发人深省”的统计数据，他说内核的稳定错误修复版本每周都会发布大约 100 个新修复程序。这给下游供应商留下了三种选择;要么忽略所有修复，优先考虑“重要”修复，要么全部应用。

他强调了所有三种策略的问题，他说，从安全的角度来看，唯一真正的选择是应用所有修复程序。然而，此选项为供应商带来了工程噩梦。

相反，库克建议，与其由个别供应商应用修复程序，不如将更大的责任放在增加上游协作上。他提出了各种机制，包括引入更多的自动化测试、持续集成和其他步骤来简化内核的开发过程。

“与其在内核发布后进行测试，不如在开发过程中进行测试更有效，”库克建议道，并要求下游供应商至少再注入 100 名工程师来研究上游内核。

Mayank Sharma 在 Linux 上有近 20 年的写作和报告经验，他希望每个人都认为他是TechRadar Pro在该主题上的专家。当然，他对其他计算主题也同样感兴趣，尤其是网络安全、云、容器和编码。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！