Zahlen & Trends

Google fordert bessere Mitarbeit am Linux-Kernel

Viele Probleme des Linux-Kernels, auch in Sachen Sicherheit, ließen sich durch mehr Upstream-Arbeit lösen, glaubt KernelHacker Kees Cook von Google und fordert andere dazu auf. Der langjährige Kernel-Entwickler veröffentlichte im Security-Blog des Unternehmens eine längere Analyse zur Sicherheit des Linux-Kernels. Cook, der seit Jahren Sicherheitsinitiativen für den Linux-Kernel initiiert und betreut, betrachtet dabei vor allem das bisher typische Entwicklungsmodell verschiedener Firmen, die sich hier seiner Meinung nach umstellen müssen.

Cook erklärt, alle wollten einen sicheren Kernel nutzen, nur seien eben viele Nutzer dazu überhaupt nicht in der Lage. So hätten etwa die Entwickler, die Fehler im Hauptzweig beheben, keine Kontrolle darüber, wie andere Hersteller diesen Code nutzen. Ebenso hätten viele Endkunden keinen Einfluss darauf, welche Kernel-Version eingesetzt werde oder welche Fehler im Einzelnen durch den Produkthersteller behoben würden.

Der Sicherheitsspezialist verweist damit auf die seit Langem diskutierte Frage, welche Bugfixes aus dem Hauptzweig in eigene stabile Zweige mit Langzeitpflege übernommen werden sollten. Das Problem verschärft sich noch, wenn Hersteller oder sogenannte Downstream-Entwickler ihre komplett eigenen Versionen unabhängig von den stabilen Zweigen der Kernel-Community pflegen. So hat selbst Google deshalb sogar schon einmal einen kritischen Bugfix in seinem Android-Kernel übersehen.

Aber vor allem die Pflege der verschiedenen Versionen sei oft redundante Arbeit, da etwa ein Backport mehrfach von unterschiedlichen Entwicklern vorgenommen werde statt nur einmal, meint Cook. Diese Arbeitszeit sei an anderer Stelle viel besser aufgehoben. So steige die Zahl der automatisch gefundenen Fehler im Kernel kontinuierlich. Ebenso fehlten momentan Entwickler für Code Reviews wie auch für