« Coleção de telas do Famelix 1.0 | Main | Bloqueando automaticamente tentativas de login remoto não autorizadas »
janeiro 14, 2005
Linus comenta sobre métodos de divulgação de falhas
O InternetNews.com publicou um artigo sumarizando recentes discussões na lista de desenvolvimento do kernel do Linux, a respeito de como fazer relatos sobre bugs, e quando esta informação deve ser divulgada ao público em geral.
Sugiro aos interessados no tema a leitura do artigo como um todo, mas se eu tivesse que resumir em um parágrafo, diria que Linus concorda que deve existir um ponto de contato centralizado para o envio de relatos de falhas de segurança encontradas no kernel, prefere que estas informações estejam abertas a todos os interessados, mas aceitaria a existência de uma lista fechada ou restrita para esta finalidade - desde que nenhum dos inscritos tivesse obrigação de manter em segredo os assuntos nela debatidos. Na opinião dele, embargos à publicação ou os acordos de publicação após um certo prazo pré-estabelecido são do interesse de quem quer obter publicidade com a divulgação da falha, mas os usuários e os desenvolvedores ganham mais com a divulgação imediata.
Ele não afirma que todos os bugs deveriam ter publicidade imediata, mas sim que não deve haver um acordo de obrigatoriedade de segredo. Ou, nas palavras dele, "E eu penso que faz sentido ter alguma política em que nós não necessariamente publicamos imediatamente, para dar tempo às pessoas de discuti-los. Mas deve estar bem claro que nenhuma entidade (nem quem reporta a falha, nem nenhum distribuidor ou desenvolvedor) pode exigir silêncio, ou pedir por algo mais do que 'vamos encontrar a melhor solução'".
Trecho: "Penso que falhas no kernel deveriam ser consertadas tão cedo quanto humanamente possível, e qualquer atraso basicamente serve apenas para criar desculpas. E isto significa que tantas pessoas quanto possível deveriam saber do problema o quanto antes, porque qualquer lista fechada (ou qualquer pessoa mandando mensagem apenas para mim, pessoalmente) só aumenta o risco de a informação se perder e atrasar pelas razões erradas."
O artigo fala ainda sobre a importância do papel dos distribuidores de Linux, e mais aspectos interessantes.
| Publicado em janeiro 14, 2005 02:11 PM
Comentários dos leitores
»Comentário de: pedr0 ( $ipip="200.184.189.132"; $partes = explode(".", $ipip); echo "$partes[0].$partes[1].$partes[2].xxx"; ?>) em 14/01 15:26: concordo 100% com o Linus nessa ....
»Comentário de: hamacker ( $ipip="200.171.13.85"; $partes = explode(".", $ipip); echo "$partes[0].$partes[1].$partes[2].xxx"; ?>) em 14/01 17:26: O que foi ? descobriram um BUG no sistema ...
»Comentário de: chimpa ( $ipip="200.204.67.117"; $partes = explode(".", $ipip); echo "$partes[0].$partes[1].$partes[2].xxx"; ?>) em 14/01 17:29: De fato é preciso oficializar o processo p...