Kernel-Entwickler gründen Security-Mailing-Liste
Die Entwickler des Linux-Kernels wollen eine Mailing-Liste ins Leben rufen, auf der nur Informationen über Sicherheitslücken im Kernel ausgetauscht werden.
Die Entwickler des Linux-Kernels wollen eine Mailing-Liste ins Leben rufen, auf der nur Informationen über Sicherheitslücken im Kernel ausgetauscht werden. Mit der Liste, die demnächst offiziell eingeführt werden soll, reagieren die Kernel-Entwickler auf Vorwürfe anderer Open-Source-Entwickler und Sicherheitsspezialisten in den vergangenen Wochen, dass Hinweise zu Schwachstellen in der Flut anderer Nachrichten und Mails untergingen.
Chris Wright hat für die neue Kernel-Security-Liste bereits eine Policy zur Diskussion gestellt. Demnach wird auch sie ein geschlossenes Forum so genannter Security Officers sein, die die gemeldeten Fehler aufbereiten und weiterleiten. Mit dem jeweiligen Entdecker der Lücke will man zusammen an einem Patch arbeiten, der so schnell wie möglich veröffentlicht werden soll. Über die Schwachstelle will man ebenfalls so schnell wie möglich Informationen herausgeben -- Alan Cox schlägt einen Zeitrahmen von 14 Tagen vor. Allerdings behält man sich vor, die Herausgabe zu verzögern, wenn der Fehler bis dahin noch nicht verstanden worden sei oder der Patch noch nicht hinreichend getestet wurde. Man wolle aber in einem Zeitrahmen bleiben, der in Tagen und nicht in Wochen oder Monaten gemessen wird.
Damit grenzen sich die Entwickler auch von der geschlossenen Mailing-Liste der Linux-Distributoren Vendor-Sec ab. Dort können die Hersteller die Veröffentlichung von Details zu Schwachstellen mit einem Embargo belegen, bis zu dessen Rücknahme nichts nach außen dringen darf. Ein Embargo soll es auf der neuen Liste nicht geben.
Siehe dazu auch: (dab)
- Security Contact Draft von Chris Wright
