Security: Google fordert bessere Mitarbeit am Linux-Kernel

Viele Probleme des Linux-Kernels, auch mit der Sicherheit, ließen sich durch mehr Upstream-Arbeit lösen, glaubt Google und fordert andere dazu auf.

Artikel veröffentlicht am ,
Die Security des Linux-Kernels sorgt immer wieder für Diskussionen.
Die Security des Linux-Kernels sorgt immer wieder für Diskussionen. (Bild: Pixabay)

Der bei Google angestellte und langjährige Linux-Kernel-Entwickler Kees Cook hat im Security-Blog des Unternehmens eine längere Analyse zur Sicherheit des Linux-Kernels veröffentlicht. Cook, der seit Jahren Sicherheitsinitiativen für den Linux-Kernel initiiert und betreut, betrachtet dabei vor allem das bisher typische Entwicklungsmodell verschiedener Firmen, die sich hier seiner Meinung nach umstellen müssen.

Stellenmarkt
  1. Embedded-Entwickler (m/w/d) Bildverarbeitung
    STEMMER IMAGING AG, Puchheim bei München
  2. IT-Teamleiter ERP (m/w/d)
    WE4YOU GmbH, verschiedene Standorte
Detailsuche

Cook erklärt, alle wollten einen sicheren Kernel nutzen, nur seien eben viele Nutzer dazu überhaupt nicht in der Lage. So hätten etwa die Entwickler, die Fehler im Hauptzweig beheben, keine Kontrolle darüber, wie andere Hersteller diesen Code nutzen. Ebenso hätten viele Endkunden keine Kontrolle darüber, welche Kernel-Version eingesetzt werde oder welche Fehler im einzelnen durch den Produkthersteller behoben würden.

Der Sicherheitsspezialist verweist damit auf das langanhaltende Problem der Frage, welche Bugfixes aus dem Hauptzweig in eigene stabile Zweige mit Langzeitpflege übernommen werden sollten. Das Problem wird noch größer, wenn Hersteller oder sogenannte Downstream-Entwickler ihre komplett eigenen Versionen unabhängig von den stabilen Zweigen der Kernel-Community pflegen. So hat selbst Google deshalb sogar schon mal einen kritischen Bugfix in seinem Android-Kernel übersehen.

Zu wenige Entwickler für zu viele Baustellen

Aber vor allem die Pflege der verschiedenen Versionen sei oft redundante Arbeit, da etwa ein Backport mehrfach von unterschiedlichen Entwicklern durchgeführt werde statt nur einmal, sagt Cook. Diese Arbeitszeit sei an anderer Stelle aber viel besser aufgehoben. So steige die Zahl der automatisch gefundenen Fehler im Kernel kontinuierlich. Ebenso fehlten derzeit Entwickler für Code Reviews wie auch für das Erstellen und Pflegen von Testinfrastruktur.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    13.10.2022, Virtuell
Weitere IT-Trainings

Um zumindest einen Teil dieser Arbeit umzusetzen, fordert Google-Entwickler Cook andere Unternehmen dazu auf, sich verstärkt direkt auf die Arbeit im Hauptzweig zu konzentrieren, so wie Google dies etwa für ChromeOS und Android umsetze. Derzeit fehlen dem Kernel und seinen Werkzeugen laut Cook schätzungsweise 100 Vollzeitentwickler. Diese müssten aber Upstream arbeiten. Nur so könne die Sicherheit des Kernels dauerhaft gewahrt bleiben, erklärt der Entwickler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


fabiwanne 05. Aug 2021

Da hast du prinzipiell recht. Nur wollen die wenigsten das. Die meisten Entwickler sind...

fabiwanne 05. Aug 2021

Google ist die falsche Adresse. Auch wenn die groß ihr Logo drauf drucken lassen. Nicht...

Kilpikonna 04. Aug 2021

Ja, und? Behauptet ja niemand das Gegenteil. Es wurde nur gesagt, dass es effizienter...

Neuro-Chef 04. Aug 2021

Sie müssten es einfach mal bei Android-Geräten forcieren!



Aktuell auf der Startseite von Golem.de
Krieg der Steine
Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat.

Krieg der Steine: Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden
Artikel
  1. Smartphones: Xiaomis neues Foldable ist wesentlich günstiger
    Smartphones
    Xiaomis neues Foldable ist wesentlich günstiger

    Das Xiaomi Mix Fold 2 ähnelt dem Samsung Galaxy Fold 4. Es ist ähnlich gut ausgestattet, kostet aber wesentlich weniger Geld.

  2. USA: Tesla stoppt Bestellungen für das Model 3 Long Range
    USA
    Tesla stoppt Bestellungen für das Model 3 Long Range

    In den USA und Kanada übersteigt die Nachfrage nach dem Tesla Model 3 LR das Angebot, so dass Tesla erstmal keine Bestellungen mehr annimmt.

  3. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • BenQ Mobiuz EX3410R 499€ • HyperX Cloud Flight heute für 44€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und GIGABYTE RTX 3070 Ti Master 8G 699€ + 20€ Cashback) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO für 353,99€) [Werbung]
    •  /