谷歌呼吁企业将更多工程师投入到上游Linux和工具链中,提高开源安全性。“不是一次只从一个错误开始,先发制人的行动可以防止错误产生不良影响。鉴于Linux是用C语言编写的,它将继续存在一长串相关问题。Linux必须设计为主动。针对自身风险的措施。”博客文章指出,稳定的Linux内核版本每周都有近100个新修复。面对如此高的变化率,供应商并不总能获得最新的修复,或者在某些情况下只是试图挑选“重要”的修复。显然忽略所有修复是错误的“解决方案”,但这是供应商之间非常普遍的立场;他们将自己的设备视为一种物理产品,而不是必须定期更新的混合产品/服务。在这方面,除了承认需要更多的上游内核开发人员;谷歌还鼓励供应商遵循追求最新的Linux稳定版或LTS内核的路线,以便可以整合所有修复程序。谷歌呼吁更多的工程师尽早修复错误,进行代码审查,围绕内核进行测试和基础设施工作,并致力于安全和编译器工具链开发。“根据我们最保守的估计,Linux内核及其工具链目前至少有100名工程师投资不足,因此每个人都应该将他们的开发人才输送到上游。这是以合理的长期成本解决方案确保安全平衡的唯一途径”更多详情可以查看官方博客本文转自OSCHINA文章标题:谷歌呼吁企业在上游Linux和工具链上投入更多工程师本文地址:https://www.oschina.net/新闻/153822/linux-kernel-security-done-right
