Google pubblica analisi sul Kernel Linux: "troppi bug, bisogna intervenire"
L’Open Source security team di Google ha pubblicato un’analisi dalla quale emerge che la qualità del codice del kernel Linux non è sufficientemente elevata. Anzi. Con una media di circa 100 fix a settimana sulle stable release è impossibile che i vendor riescano a mantenere il passo, aggiornando tutte le macchine.
Di fronte a questo alto tasso di modifiche, un vendor può scegliere di ignorare tutte le correzioni, scegliere solo le correzioni “importanti” o affrontare l’arduo compito di aggiornare tutto.
queste le parole di
Con la continua crescita e diffusione di malware, botnet, etc è chiaro che ignorare tutte le patch è la strada sbagliata. Sfortunatamente, questa è la via intrapresa spesso e volentieri da fornitori che vedono i loro dispositivi solo come un prodotto.
Google, analisi sul kernel Linux
I numeri sono abbastanza preoccupanti. Dando uno sguardo al tool Syzkaller il numero di bug aperti si sta avvicinando a quota 1000 e cresce di circa 100 all’anno, nonostante tutti gli anni circa 400 bug vengano sistemati.
Secondo Google è necessario adottare la strategia “meglio prevenire che curare”.
Possono essere messe in campo azioni preventive che limitino la comparsa di bug.
Una prima soluzione consiste nel passaggio a linguaggi più moderni rispetto al C, che permettano una gestione della memoria più semplice.
Finché Linux sarà scritto in C, continuerà ad avere una lunga coda di problemi associati a questo linguaggio.
A questo proposito Torvalds ha già aperto all’uso di Rust.
Importante anche un tracciamento puntuale dei bug. Purtroppo, non tutte le falle vengono correttamente attribuite ad una CVE oppure viene fatto solo tempo dopo la correzione dell’anomalia. Questo implica che un vendor difficilmente riesce selezionare in tempo utile aggiornamenti critici, tralasciando gli altri. Inoltre, sarebbe buona cosa introdurre test automatizzati e continuos integration in modo da rendere il processo di sviluppo più efficiente.
L’unica vera soluzione però, che permette di risolvere il problema alla radice, consiste nell’aumentare la qualità del codice upstream, in modo da generare un minor numero di bug e quindi una minor esigenza di aggiornamenti continui. Per farlo, secondo Google, è necessario accrescere il numero di ingegneri che lavorano al kernel. Senza un numero sufficiente di persone dedicate alla revisione del codice, l’intero processo di sviluppo del kernel va incontro ad un enorme collo di bottiglia. A questa conclusione era giunto poco tempo fa anche Greg-Kroah Hartman.
Potete leggere l’analisi completa di Google qui.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.