在 Google 安全博客上,安全工程师 Kees Cook 称 Linux kernel 的代码不够好,缺乏人手,需要增加至少 100 名工程师。他指出,修正 bug 的稳定版内核 每周包含了近百个修正,这给 Linux 供应商施加了压力——包括那些需要支持无数运行 Linux 产品的供应商——迫使他们“略过所有修正,只选择最重要的”否则面临的任务将会无比艰巨。他认为部分原因是 Linux 是用 C 语言开发的。他说 Google 的模糊测试工具目前报告 Linux 内核有 1000 个潜在问题,一年内能修复大约 400 个,但随着新问题的发现问题的数量每年会增加 100 个。如何解决?Cook 提出了多个建议,包括放弃基于电邮的工作流,引入更多自动化测试和模糊测试,让开发流程更有效率,需要增加至少 100 名工程师。
https://security.googleblog.com/2021/08/linux-kernel-security-done-right.html -- FROM 112.47.122.*