Разработчики: ядро Linux слишком «дырявое», его нужно переписать с нуля

- КиТ :: Будь в СЕТИ!

Киc Кук, сотрудник Google и разработчик ядра Linux, считает, что нужно срочно увеличить количество программистов, которые будут трудиться над улучшением безопасности ядра. Сил нынешнего штата не хватает, они не успевают обрабатывать все исправления, и в результате пока одна уязвимость устраняется сразу, другая может оставаться в коде годами. Также он предложил отказаться от языка С, назвав его небезопасным, и переписать ядро на Rust.

Почему в Linux так много «дыр»

Сообществу разработчиков ядра Linux не хватает специалистов, чтобы вовремя устранять найденные в нем уязвимости. Как сообщил The Register, на эту проблему обратил внимание программист Кис Кук (Kees Cook) из Google Security Team, принимающий непосредственное участие в развитии Linux.

По словам Кука, каждую неделю программисты готовят приблизительно по 100 новых исправлений для ядра, но сил тех, кто их проверяет, попросту не хватает, чтобы протестировать каждое из них. Кук утверждает, что из-за этого разработчики отбирают только самые важные из них, притом руководствуются они исключительно собственными критериями «важности» таких патчей.

Кук подчеркнул, что из-за нехватки специалистов многие проблемы ядра попросту игнорируются. По его подсчетам, на разбор еженедельных 100 исправлений требуется, по меньшей мере, 100 специалистов.

Ядру Linux просто не хватает разработчиков, которые бы "заботились" о нем

Кис Кук заявил, что большая часть инженеров, в настоящее время занятых развитием ядра Linux, работают в различных компаниях. Он призвал руководителей этих компаний нанимать больше инженеров, чтобы у разработчиков появилось больше времени на Linux.

Мотивация Кука

Кис Кук объяснил свой призыв к найму большего числа инженеров тем, что из-за сложившейся вокруг ядра Linux ситуации многие уязвимости могут находиться в нем годами. Пока разработчики латают одну брешь, другая теряется в строчках кода.

В словах Кука есть внушительная доля правды. В ядре Linux постоянно обнаруживаются «дыры» в возрасте нескольких лет, многие из которых несут чрезвычайную опасность как для частных пользователей, так и для корпораций.

Кис Кук уверен, что подход к разработке Linux нужно менять полностью

Например, в ноябре 2017 г. CNews рассказывал о том, как россиянин Антон Коновалов всего за несколько месяцев выловил в коде ядра Linux, по меньшей мере, 15 багов в драйверах USB. Он подчеркнул, что такие уязвимости можно использовать для запуска произвольного кода и захвата контроля над пользовательскими системами.

В июле 2021 г. эксперты по информационной безопасности компании Qualys нашли в ядре уязвимости с зашкаливающим уровнем опасности. Они позволяют вызвать крах системы и выполнить произвольный код. И если в случае «дыр», выявленных Антоном Коноваловым их возраст не был установлен, то находкам Qualys совсем недавно исполнилось шесть и семь лет.

Более того, одну из этих уязвимостей они нашли, успешно проэксплуатировав вторую. Из-за них под угрозой оказались пользователи Debian, Ubuntu, Red Hat и целого ряда других популярных дистрибутивов Linux.

Необходимо сменить язык программирования

Проблему с бесчисленным количеством уязвимостей в Linux Кис Кук частично связывает и с языком программирования С, самым популярным в мире (статистика Tiobe на июль 2021 г.). «Linux, написанный на C, по-прежнему будет иметь длинный хвост проблем», – подчеркнул Кук, добавив, что Linux следовало бы писать на «более безопасных» языках.

Клиентский опыт формируют операторы контакт-центров: как этим управлять

В качестве примера Кук привел язык Rust. Как CNews, согласно опросу Stack Overflow, большинство программистов называют его своим самым любимым языком. К тому же, он очень нравится и киберпреступникам.

Также Кук считает неправильным нынешний алгоритм поиска уязвимостей в коде ядра. Программисты задействуют базу данных Mitre CVE (Common Vulnerabilities and Exposures), используя ее для оценки опасности существующих уязвимостей. Кук уверен, что она совершенно не годится для решения этой задачи, поскольку, с его слов, «не всем уязвимостям присваиваются CVE-метки, и к тому же они назначаются несвоевременно».

Решение проблемы

Кис Кук уверен, что наращивание числа программистов, располагающих временем на тестирование исправлений к ядру Linux, в корне исправит ситуацию. В качестве примера он привел использование инструмента фаззинга Syzkaller, который позволяет выявить почти 1000 потенциальных проблем, в настоящее время имеющихся в ядре Linux. Разработчики в своем нынешнем количестве способны устранить порядка 400 «дыр» в год. При этом в ядре постоянно появляются новые уязвимости.

Кук предложил не только нанимать больше инженеров и переписать ядро Linux с использованием Rust. Он также рекомендует отказаться от нынешнего процесса разработки ядра, в основе которого лежит чтение и написание программистами десятков электронных писем с исправлениями и комментариями. На горы электронных писем, как CNews, еще в июле 2020 г. жаловался и сам Линус Торвальдс (Linus Torvalds), создатель Linux.

Линусу Торвальдсу многое не нравится в нынешнем процессе разработки ядра Linux

Кис Кук также ратует за внедрение более автоматизированного тестирования и фаззинга. Он утверждает, что все предложенное им сделает разработку ядра «более эффективным».

Эльяс Касми

Поделиться

Другие материалы рубрики

В опенсорсном «убийце» Google Docs найден способ кражи аккаунтов и документов

Гигантские «дыры» в Linux вызывают крах системы и позволяют запускать любой код. Под угрозой Debian, Ubuntu, Red Hat

Linux перестанет работать на ПК со старыми жесткими дисками

Мир перевернулся. Microsoft выпустила собственный Linux

Популярный бесплатный аудиоредактор «стучит» на пользователей российским силовикам. Сообщество разработчиков в бешенстве

Выпущена бесплатная файловая система для параноиков, которые не доверяют облачным провайдерам

MARKET.CNEWS S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Dedicated

Подобрать выделенный сервер

От 1499 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

Техника Чем опасен ваш старый номер мобильного телефона?Обзор ИБП второго поколения Eaton PM G2: еще больше возможностейЛучшие роботы-пылесосы с функцией влажной уборки: выбор ZOOM Наука Ликбез RND.CNews: всё, что вам нужно знать о квантовых компьютерах LEGO-подобная техника сборки молекул ДНК - новый шаг в разработке биосенсоров «Озера» под Южным полюсом Марса заставили ученых усомниться в своей теории

Технология месяца Как инновации помогают строить беспроводные сети в офисах

Валерий Лутошкин

директор департамента сетевых решений компании STEP LOGIC

ИТ в госсекторе Как работает импортозамещение ИТ-оборудования в российских школах и больницах

На что государство тратит десятки миллионов рублей?

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg