Pengembang sering dituduh tidak memikirkan keamanan, namun pendiri kernel Linux Linus Torvalds sudah memiliki cukup banyak orang keamanan yang tidak memikirkan pengembang dan pengguna akhir.
Pencipta kernel Linux Linus Torvalds: "'Jangan salah' seharusnya mantra Anda untuk pekerjaan pengerasan baru."
Gambar: Universitas Aalto / YouTube
Setelah peledakan beberapa pengembang kernel minggu lalu karena membunuh proses atas nama pengerasan kernel, Torvalds telah menawarkan penjelasan yang lebih terukur untuk frustrasinya dengan miopia keamanan.
Sementara dia setuju bahwa memiliki banyak lapisan keamanan di kernel adalah ide bagus, beberapa cara untuk menerapkannya tidak, terutama jika hal itu mengganggu pengguna dan pengembang dengan membunuh proses yang mematahkan mesin pengguna dan menghancurkan kode kernel utama. Karena pada akhirnya, jika tidak ada pengguna, tidak ada gunanya memiliki sebuah kernel yang sangat aman, Torvalds berpendapat.
"'Tidak ada salahnya' seharusnya mantra Anda untuk pekerjaan pengerasan baru," Torvalds menginstruksikan pengembang keamanan, mengingatkan mereka untuk melihat gambaran yang lebih besar.
"Awasi titik akhir, dan itu hanya langkah awal, Anda tidak perlu menghilangkan pengguna, dan Anda tidak perlu menghilangkan pengembang," katanya.
"Karena pada akhirnya, pengguna tersebut benar-benar peduli, tanpa pengguna tersebut, sistem Anda mungkin 'aman', tapi semua pekerjaan keamanan Anda masih hanya masturbasi. Anda sama sekali tidak berguna pada akhirnya."
Dalam pesan minggu lalu mengenai permintaan penarik yang dikuatkan oleh pengembang Google Pixel, dia merasa terganggu karena tidak diuji dengan benar, yang dia duga disebabkan oleh sikap bahwa "keamanan sangat penting sehingga tidak ada hal lain yang penting".
Dia menawarkan pengingat akan apa artinya dari perspektif yang berbeda ketika orang keamanan telah menemukan akses yang tidak sah. Bagi petugas keamanan, pekerjaan itu dilakukan, tapi bagi pengembang "akses yang buruk hanyalah sebuah gejala, dan perlu dilaporkan, dan di-debugged, dan diperbaiki, sehingga bug tersebut benar-benar diperbaiki".
Saran Torvalds kepada kontributor yang berfokus pada keamanan adalah melaporkan bug tersebut dan bukan membunuh sebuah proses.
"Sebagai pengembang, saya menginginkan laporan tersebut. Tetapi jika Anda membunuh program pengguna dalam prosesnya, saya sebenarnya tidak mungkin mendapatkan laporan, karena akses laten kemungkinan besar terjadi pada kasus yang benar-benar langka dan menjijikkan, atau kami Sudah pasti sudah menemukannya. Di kernel, ada kemungkinan besar itu ada di driver, misalnya, "Torvald menjelaskan.
"Karena itu adalah kernel, dan karena ini adalah supir, kemungkinan besar membunuh pelaku akan melakukan hal-hal buruk pada berbagai kunci acak yang diadakan, atau mungkin itu terjadi secara interupsi dan keseluruhan mesin sekarang mati jika kita tidak beruntung. karena memang ada beberapa kunci inti yang harus dipegang. "
Setidaknya satu orang keamanan terkenal setuju dengan penilaian Torvalds.
Peneliti keamanan Dino Dai Zovi mendukung pandangan Torvalds.
Gambar: Dino Dai Zovi / Twitter
Author : Rama Trisna Pasa
Sumber : ZdNet
Post a Comment