Security: Google fordert bessere Mitarbeit am Linux-Kernel

Viele Probleme des Linux-Kernels, auch mit der Sicherheit, ließen sich durch mehr Upstream-Arbeit lösen, glaubt Google und fordert andere dazu auf.

Artikel veröffentlicht am ,
Die Security des Linux-Kernels sorgt immer wieder für Diskussionen.
Die Security des Linux-Kernels sorgt immer wieder für Diskussionen. (Bild: Pixabay)

Der bei Google angestellte und langjährige Linux-Kernel-Entwickler Kees Cook hat im Security-Blog des Unternehmens eine längere Analyse zur Sicherheit des Linux-Kernels veröffentlicht. Cook, der seit Jahren Sicherheitsinitiativen für den Linux-Kernel initiiert und betreut, betrachtet dabei vor allem das bisher typische Entwicklungsmodell verschiedener Firmen, die sich hier seiner Meinung nach umstellen müssen.

Stellenmarkt
  1. Principal Data Engineer (m/f/d)
    über experteer GmbH, München
  2. Berufseinstieg Java Entwickler:in (m/w/d)
    Lufthansa Industry Solutions AS GmbH, verschiedene Standorte
Detailsuche

Cook erklärt, alle wollten einen sicheren Kernel nutzen, nur seien eben viele Nutzer dazu überhaupt nicht in der Lage. So hätten etwa die Entwickler, die Fehler im Hauptzweig beheben, keine Kontrolle darüber, wie andere Hersteller diesen Code nutzen. Ebenso hätten viele Endkunden keine Kontrolle darüber, welche Kernel-Version eingesetzt werde oder welche Fehler im einzelnen durch den Produkthersteller behoben würden.

Der Sicherheitsspezialist verweist damit auf das langanhaltende Problem der Frage, welche Bugfixes aus dem Hauptzweig in eigene stabile Zweige mit Langzeitpflege übernommen werden sollten. Das Problem wird noch größer, wenn Hersteller oder sogenannte Downstream-Entwickler ihre komplett eigenen Versionen unabhängig von den stabilen Zweigen der Kernel-Community pflegen. So hat selbst Google deshalb sogar schon mal einen kritischen Bugfix in seinem Android-Kernel übersehen.

Zu wenige Entwickler für zu viele Baustellen

Aber vor allem die Pflege der verschiedenen Versionen sei oft redundante Arbeit, da etwa ein Backport mehrfach von unterschiedlichen Entwicklern durchgeführt werde statt nur einmal, sagt Cook. Diese Arbeitszeit sei an anderer Stelle aber viel besser aufgehoben. So steige die Zahl der automatisch gefundenen Fehler im Kernel kontinuierlich. Ebenso fehlten derzeit Entwickler für Code Reviews wie auch für das Erstellen und Pflegen von Testinfrastruktur.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Linux-Systemadministration Grundlagen
    25.-29 Oktober 2021, online
  3. PostgreSQL Fundamentals
    6.-9. Dezember 2021, online
Weitere IT-Trainings

Um zumindest einen Teil dieser Arbeit umzusetzen, fordert Google-Entwickler Cook andere Unternehmen dazu auf, sich verstärkt direkt auf die Arbeit im Hauptzweig zu konzentrieren, so wie Google dies etwa für ChromeOS und Android umsetze. Derzeit fehlen dem Kernel und seinen Werkzeugen laut Cook schätzungsweise 100 Vollzeitentwickler. Diese müssten aber Upstream arbeiten. Nur so könne die Sicherheit des Kernels dauerhaft gewahrt bleiben, erklärt der Entwickler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


fabiwanne 05. Aug 2021 / Themenstart

Da hast du prinzipiell recht. Nur wollen die wenigsten das. Die meisten Entwickler sind...

fabiwanne 05. Aug 2021 / Themenstart

Google ist die falsche Adresse. Auch wenn die groß ihr Logo drauf drucken lassen. Nicht...

Kilpikonna 04. Aug 2021 / Themenstart

Ja, und? Behauptet ja niemand das Gegenteil. Es wurde nur gesagt, dass es effizienter...

Neuro-Chef 04. Aug 2021 / Themenstart

Sie müssten es einfach mal bei Android-Geräten forcieren!

mxcd 04. Aug 2021 / Themenstart

Ja, Google profitiert gern von der Arbeit der Community. Nach langem hin und her haben...

Kommentieren



Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Roku Streambar: Soundbar mit Streamingfunktionen kostet 150 Euro
    Roku Streambar
    Soundbar mit Streamingfunktionen kostet 150 Euro

    Roku kommt nach Deutschland und bringt parallel zu externen Streaminggeräten auch eine Soundbar, um den Klang des Fernsehers aufzuwerten.

  2. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

  3. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /