Ontwikkelaars worden vaak beschuldigd van het niet denken aan security en dat zit de man achter Linux, Linus Torvalds, dwars. Hij heeft dan ook genoeg van deze mensen die zich bezig houden met beveiliging en niet denken aan ontwikkelaars en eindgebruikers.
Torvalds is het ermee eens dat meerdere lagen beveiliging in de kernel (kern van een besturingssysteem) een goed idee is. Toch is het volgens de informaticus niet verstandig om op bepaalde manieren security toe te voegen. In het bijzonder gaat het om gevallen waarbij gebruikers en ontwikkelaars geïrriteerd raken omdat processen de machines aantasten of de kernel-code beschadigt.
Harde woorden
In een gepubliceerd document schrijft Torvalds dat ‘doe geen kwaad’ het mantra moet zijn. “Hou de endpoint in de gaten, dat is slechts de eerste stap. Je moet gebruikers niet kwaad maken en je moet ontwikkelaars niet kwaad maken… Want uiteindelijk doen deze gebruikers er echt toe. Zonder de gebruikers is jouw systeem misschien wel ‘secure’, maar al je beveiligingswerk was eigenlijk gewoon masturbatie. Uiteindelijk heb je helemaal niets nuttigs gedaan.”
Torvalds raadt dan ook aan een bug gewoon te melden in plaats van een proces omver te helpen. Hij benadrukt dat hij als ontwikkelaar wil rapporten. Als het gebruikersprogramma tijdens het proces aangetast wordt, dan is de kans kleiner dat Torvalds ook daadwerkelijk meldt. Als er iets aan de oorzaak aangepast wordt, dan leidt dat volgens de Linux-maker mogelijk tot een kettingreactie.
Bijval
Hoewel de woorden van Torvalds veel weg hebben van een aanval op security-experts, vindt de informaticus ook bijval vanuit deze hoek. Mede-oprichter en CTO Dino A. Dai Zovi van Capsule8, dat cloud-native security voor containers, microservices en Linux-infrastructuren biedt, zei op Twitter dat hij het met Torvalds eens is. De bestuurder noemt aanvallen sneller stoppen veel belangrijker en handelbaarder dan het vinden en oplossen van elke kwetsbaarheid.
11 uur geleden
