Összefogottabb hibakezelést a Linuxnak

A külön levelezőlistára azért van szükség, mert néhány nyíltforrású projekten dolgozó fejlesztő arra panaszkodott, hogy a sok egyéb, a kernellel foglalkozó programozóknak küldött e-mail között a biztonsági hibákra figyelmeztetők elvesznek. „Célunk, hogy annyira nyílt legyen továbbra is az eljárás, amennyire csak lehet. Néhány esetben az emberek inkább privát üzenetekben számolnak be a sebezhetőségekről, hogy biztosak legyenek abban, a célszemély(ek) megértették a hiba lényegét, és el is készítik rá a javítást, mielőtt még nyilvánossá válna magának a sérülékenységnek a léte. Ez a levelezőlista pontosan ilyen célokra jött létre: eljuttatja az információt a megfelelő személyekhez anélkül, hogy avatatlan kezekbe kerülne.” – mondta Chris Wright, az Open Source Development Labs egyik kernelfejlesztője.

Jelenleg a kereskedelmi forgalomba kerülő szoftvereknél az a rendezőelv, hogy a hiba megtalálója értesíti erről a fejlesztő(cége)t, ahol aztán elkészítik rá a patch-et vagy a program új változatát. Ennek létrejötte, és elérhetőségének biztosítása után számolnak csak be a felfedezett hibáról, hogy a sebezhetőségnek kitett internetezők azonnal be is tudják szerezni a megfelelő javításokat. Tény, hogy sok fejfájást okozott már nem egyszer ennek a menetrendnek a felborítása.

Ezzel szemben a linuxos kernelt fejlesztők speciális levelezőlistája tulajdonképpen rögtön „nyilvánosságra hozza” a hibát, mivel a közös listán való publikálás során sok emberhez eljut egy-egy sebezhetőség pontos leírása. Ez azért nem fog problémát okozni – vallják a levelezőlista ötletét támogatók -, mert szerintük a jól dokumentált hibákra könnyebb – és ami még fontosabb: gyorsabb – javítást készíteni. Ez az időszak (a hiba bejelentése és a rá való „gyógyír” elkészítése közötti idő) pedig csak napokban lesz mérhető, nem pedig hetekben, hónapokban, vélekednek a fejlesztők.