内容摘要：谷歌安全团队的长期内核开发人员 Kees Cook 发布了一篇博客，呼吁各组织尽快将更多的工程师投入到上游 Linux 内核中，以提高开源安全。“与其只从每次一个 bug 的角度出发，先发制人的行动可

谷歌安全团队的谷歌长期内核开发人员 Kees Cook 发布了一篇博客，呼吁各组织尽快将更多的呼吁和工工程师投入到上游 Linux 内核中，以提高开源安全。企业“与其只从每次一个 bug 的将更具链角度出发，先发制人的多工到上行动可以阻止 bug 产生不良影响。鉴于 Linux 是程师用 C 语言编写的，它将继续有一长串的投入相关问题。Linux 必须被设计成采取积极主动的谷歌措施来抵御它自己的风险。”

博客内容指出，呼吁和工稳定的企业 Linux 内核版本每周都有近 100 个新的修复。面对如此高的源码下载将更具链变化率，供应商并不总是多工到上能够获得最新的修复，或者在某些情况下只是程师试图挑选"重要"的修复。

很明显，投入忽视所有修复是谷歌一个错误的"解决方案"，但这却是供应商非常普遍的立场;他们认为他们的设备只是一个物理产品，而不是一个必须定期更新的混合产品/服务。对此，除了承认需要更多的源码库上游内核开发人员外;谷歌方面还鼓励供应商走上追逐最新的 Linux 稳定版或 LTS 版内核的路线，以便整合所有修复程序。

谷歌呼吁称，希望可以有更多的工程师能更早地修复错误、进行代码审查、从事测试和围绕内核的基础设施工作、以及从事安全和编译器工具链开发。

“根据我们最保守的估计，Linux 内核及其工具链目前至少有 100 名工程师投资不足，因此每个人都应该将他们的开发人员人才聚集到上游。这是唯一能以合理的长期成本确保安全平衡的解决方案。”

更多详情可查看官方博客。香港云服务器

本文转自OSCHINA

本文标题：谷歌呼吁企业将更多工程师投入到上游 Linux 和工具链

本文地址：https://www.oschina.net/news/153822/linux-kernel-security-done-right