Linus Torvalds hat den "Security-Zirkus" satt

19.08.2008
Der Mitentwickler des Linux-Kernels will vom Wirbel um Softwareschwachstellen nichts mehr wissen.

"Warum ich mich weigere, mich länger mit dem ganzen Sicherheitszirkus zu beschäftigen? Weil er meiner Ansicht nach das falsche Verhalten glorifiziert und damit ermutigt." Mit dieser Äußerung hatte Linus Torvalds unlängst für Aufsehen in der IT-Branche gesorgt. Da würden Sicherheitsleute zu "Helden" gemacht - als wären diejenigen, die "nur" normale Bugs beheben, weniger wichtig, monierte der Linux-Erfinder in einem Online-Posting. Gegenüber der CW-Schwesterpublikation "Network World" führte Torvalds genauer aus, warum ihm die Sicherheitsexperten ein Dorn im Auge sind.

Allzu häufig spalte sich die Security-Szene in zwei Lager: Während die einen die Geheimhaltung von Problemen und der zugehörigen Details propagierten, bis der Bug gefixt ist, gefielen sich die anderen in der Preisgabe von Sicherheitslücken, die sie als einen weiteren Beleg für die Korrumpiertheit der Anbieter betrachteten - was meist auch zutreffe, stichelt Torvalds. Dabei sei der Mittelweg, sprich: die schnellstmögliche Behebung von Schwachstellen ohne viel Aufhebens, in jedem Fall vorzuziehen. Seiner Ansicht nach gilt es, Fehler frühzeitig zu korrigieren, was ein gewisses Maß an Offenlegung gegenüber den Entwicklern erfordere. Keinesfalls aber sei es notwendig, das Ganze an die große Glocke zu hängen.

Updates oder Modifikationen an Linux als Security-Fix auszuweisen, hält Torvalds für wenig zielführend. "Was hat man davon - außer Futter für die jeweiligen PR-Agenturen?" Ein solches Vorgehen fördere nur die falsche Denkweise und sei reine Ressourcenverschwendung.

(kf)

Zur Startseite