Sicherer


Auch wenn ich mir an dieser Stelle wieder Ärger einhandle:


“…auf vier Sicherheitslücken im Linux-Kernel hingewiesen und sich über den Umgang mit Sicherheitslücken im Linux-Kernel sowie dessen Code-Qualität beschwert.



Ein Wort zur Code Qualität: vor Kurzem hat sich ein Kollege bei mir beschwert, dass er mit einer Entwickler-Community sprach, die felsenfest behaupteten, IHR Modell (sequentielle Abarbeitung) sei die einzigste Lösung, da es konkurierende Zugriffe gibt… Das hat natürlich kopfschütteln bei mir verursacht, da diese Community noch nie etwas von Mutex, Semaphoren oder Monitoren gehört hat…


“Er habe Torvalds bereits am 15. Dezember 2004 über eine der Sicherheitslücken informiert, eine weitere sei Torvalds vom PaX-Team am 27. Dezember 2004 und danach auch nochmals von Andrew Morton mitgeteilt worden. Obwohl Torvalds sowie Morton zahlreiche Änderungen am Kernel vorgenommen hätten, seien die Sicherheitslücken auch nach drei Wochen noch nicht beseitigt, nach Ansicht von Spengler ausreichend Zeit, denn entsprechende Patches seien den E-Mails an Torvalds und Morton beigefügt gewesen.”


Naja, da kann jeder denken, was er möchte, aber die Beschuldigung ist schon hart:


“Schuld sei das neue Entwicklungsmodell des Kernel 2.6, bei dem experimenteller Code Einzug in den Kernel hält und später als “stabil” deklariert werde.”


Wo gehobelt wird, da fallen nunmal Späne, und vor dem großen Bug-Manitu sind alle OSe gleich.


Entwicklungsmodell hin oder her, gerade bei einem Projekt, mit dem KEIN GELD verdient werden soll, verstehe ich nicht, weshalb es


… keine Spezifikation gibt
… keine Testfälle gibt
… keine Testaufbauten gibt
… keine Testauswertungen gibt
… nicht getestet wird


Vor kurzem habe ich wieder in einem Projekt gesehen: es wird gecoded bis kurz vor Projektende, keine Spezifikation und kein Plan… keine Tests… keine Tests


Wenn Mercedes Autos so baut, wie manche Software programmiert wird, möchte ich mich nur ungerne in ein Auto setzen…


Quelle 1: http://www.golem.de/0501/35562.html
Quelle 2: http://www.microsoft.com/security/default.mspx

  1. #1 by Bietiekay on January 10, 2005 - 20:02

    nuja – getestet wird ja von der “Community” – weisst du doch

Comments are closed.