Linus 怒喷谷歌安全工程师

上周五，Linux 之父 Linus Torvalds 在内核邮件列表上用很犀利的言辞抨击了 Google Pixel 安全团队的开发者 Kees Cook，引起了大家广泛地讨论。

事情的起因在于 Google Pixel 安全团队的开发者 Kees Cook 向 Linus 递交了加固 usercopy 的 pull request，但是 Linus Torvalds 认为这种请求是极其愚蠢的，因为他认为此类的加固触及到了 Linux 的核心，会导致内核出现混乱。而且他认为安全人员的很多行为都是让人难以接受的，解决安全问题的核心在于调试和修复 bug，而不是应该像安全人员那样靠杀死机器或终止运行来解决问题。

对此，Rober Graham 对 Linus torvalds 的言论表示赞同，他认为我们应该关注邮件的中心思想而不是激烈的言辞，他表示 Linus Torvalds 在邮件中要表达的意思有两点：

• 对内核进行大的改动应该在小的迭代步骤中进行，而且每一次都应该彻底调试；
• 次要的安全问题不是重大的紧急情况，他们不允许绕过的规则比 bug 或功能多。

去年曾经有一些安全固化的代码被添加到内核中，以防止一类缓冲区溢出 / 越界的问题，此代码没有解决任何特定 0day 的漏洞，但它能预防一类未来的潜在漏洞，这个代码可以说是有 bug 的，但是不能说它是罪恶的，因为所有的代码都会有 bug。

在 Linus Torvalds 看来，当检测到溢出 / 越界访问时，代码将终止用户模式进程或内核，那么可以说这个代码罪恶的。Linus 认为它应只产生警告，让有问题的代码继续运行。但杀死这些东西将会使得 bug 变得更加糟糕，它会导致内核的灾难性故障，如果我们的车上运行着 Linux 的 多个副本，那么这种灾难将会危及我们的生命，而警告虽然会把这些 bug 显示出来，但不会造成灾难性的后果。在经过仅仅一年之后，当 bug 得到修复时，代码的默认行为会被改变并消除错误的代码，从而防止 bug 被利用。

简而言之，在内核中进行大的改变应该在小而可管理的步骤中进行，固化代码在 Linux 的 25 年历史中都没有出现过，所以在非紧急的情况下，没必要立即进行，更不用说绕过 Linus 提出的开发流程了。

再者，大多数的安全人员不是开发人员，他们实际上并不知道很多事情是如何运行的，边界检查被他们定义为一种用来防止缓冲区溢出的安全功能，但实际上它是一种调试功能，开发人员都知道知道这一点，但是安全“专家”往往不知道，而做出这些内核变化的往往是不懂这一点的安全人员，他们没有意识到内核的变化会在现有的代码产生大量的 bug，而且杀死错误代码也是极其不恰当的行为。

由此可见，虽然 Linus 的语气有点不友善，但是他的说法是合理的，他是一个讲道理的人，他并没有试图阻止对内核的改变，也并没有阻止在安全上的提升，他只是想告诉人们，对内核进行大的改动需要用传统的方式，而不是采取一刀切的方法，与功能和 bug 相比，安全的地位并没有比他们高。

参考链接

• http://lkml.iu.edu/hypermail/linux/kernel/1711.2/01701.html
• http://blog.erratasec.com/2017/11/why-linus-is-right-as-usual.html#.WhPPN7T1XOS

感谢徐川对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。