这种清单成立的宗旨源自于许多开放源代码开发人员担心每天收到那么大量的邮件,有可能会漏掉了安全漏洞报告。
“我们希望尽量能保持开放,”开放源代码开发实验室Linux 核心开发人Chris Wright表示,“有些人喜欢私下向我们报告安全漏洞,这个渠道就是为此而设,同时也可避免我们漏看。”
该邮寄清单专门当作核心安全主题的联络出口。安全主题要怎么公布一直是备受争议的问题,不论是对开发团队或软件社区皆然。虽然有人认为公开软件漏洞会商业整个网络的安全,但也有人认为漏洞多半是开发流程不良所致,同时也是程序人员不重视安全的结果。
目前商业软件的作法是要求找到漏洞的安全研究人员先等到厂商开发出修补程序后才公布漏洞细节。但Linux 发明者Linus Torvalds则认为这种作法不适合Linux 开发。
“我个人比较偏好尽量透明的原则,”他最近接受CNET专访时表示,“当然这种作法的前提是必须有一定的安全层次才行,也因此若自己心虚安全不够的人就不希望太过透明化了。”
相较于一般商用软件,或甚至是Linux 厂商安全名单Vendor-sec的作法,此次Linux 核心开发团队显然采取了开诚布公的作法。该团队在一份草案声明稿中写到,“我们偏好立即将漏洞作完整的公布,若是漏洞比较复杂,或者解决方案还没有测试妥当,或者厂商之间还没协调好,那么公布时间可能会稍有延迟,但我们预期这种延迟会越短越好,顶多数天,不会是数周或数个月。”
--------------------next---------------------