Lorenc erkl\u00e4rt gegen\u00fcber The Register einige der Schritte, die Google unternimmt, um die Sicherheit von Open-Source-Code zu gew\u00e4hrleisten, den es intern verwendet, einschlie\u00dflich Linux.<\/p>\n
Eines der Dinge, die wir f\u00fcr jeden Open-Source-Code, den wir verwenden, zu tun versuchen, und etwas, das wir jedem empfehlen, der es verwendet, ist, dass man es selbst bauen kann. Es ist nicht immer einfach oder trivial, es zu bauen, aber zu wissen, dass man es kann, ist die halbe Miete, falls man es jemals braucht.<\/p>\n
Wir verlangen, dass alle offenen Quellen, die wir benutzen, von uns selbst gebaut werden, aus unseren internen Repositories, nur um zu beweisen, dass wir es k\u00f6nnen, falls wir jemals einen Patch machen m\u00fcssen, und damit wir wir wissen, woher der Code kommt. Das sind technisch gesehen Forks, aber nur eine Kopie des [\u00f6ffentlichen] Projektarchivs, das wir auf dem neuesten Stand halten. Wir f\u00fchren selten Patches in einem der Projekte an denen wir arbeiten durch, denn es ist einfach ein Wartungs-Albtraum. Aber wir k\u00f6nnen es bei Bedarf, wenn wir es brauchen.<\/p>\n
Zum gr\u00f6\u00dften Teil bauen wir unsere eigenen Linux-Kernel. F\u00fcr Linux ist das normal [wird von vielen Nutzern gemacht]. Aber dieser Ansatz ist f\u00fcr eine Reihe anderer Projekte au\u00dfergew\u00f6hnlich bzw. seltsam, aber wir tun es.<\/p><\/blockquote>\n
Google verzichtet also auf die Bequemlichkeit der meisten Linux-Nutzer, ein Bin\u00e4r-Image f\u00fcr eine Linux-Distribution herunterzuladen und das, was ben\u00f6tigt wird, \u00fcber einen Paketmanager zu installieren. Aber das verhindert auch, dass auf diesem Weg Sicherheitsl\u00fccken unbemerkt in Googles Projekte einflie\u00dfen. Alle Software-Komponenten sind bei ihrer Verwendung durch Google gepr\u00fcft und bei entdeckten Schwachstellen kann das Unternehmen reagieren.<\/p>\n
Lorenc gibt gegen\u00fcber The Register an, dass der Linux-Kernel riesig ist, und es sei Software und jede Software habe Bug. Die andere Sache sei, dass man sehr gut darin geworden ist, Bugs zu finden. Die statische Analyse habe einen langen Weg hinter sich, Fuzzing habe einen langen Weg hinter sich. Und das Team finde Bugs viel schneller als die internen Entwickler sie beheben k\u00f6nnen. Die n\u00e4chste Herausforderung sei es, Wege zu finden, sie zu beheben. Lorenc sieht es als unbefriedigend an, nur zwei Entwickler zu sponsern, die bereits an der Linux-Sicherheit arbeiten. Das sei nicht ann\u00e4hernd eine L\u00f6sung.<\/p>\n
Wenn man Bugs findet, f\u00fcr die niemand Zeit hat, sie sich anzusehen, l\u00f6st man nicht wirklich das ganze Problem, so der Google-Mann. Es lohne sich trotzdem, sagt Lorenc, da es nicht viele solcher Leute gibt. \"Wir haben letzte Woche eine Ank\u00fcndigung rund um den Python-Interpreter gemacht. Wir haben f\u00fcr das n\u00e4chste Jahr eine Vollzeitkraft eingestellt, die an CPython arbeitet. Die beste Sch\u00e4tzung ist, dass das eine 50-prozentige Steigerung der Anzahl der Leute ist, die in Vollzeit am Python-Interpreter arbeiten.\" Die Situation mit Vollzeit-Entwicklern, die an der Linux-Sicherheit arbeiten, k\u00f6nnte \u00e4hnlich sein, meint Lorenc.<\/p>\n","protected":false},"excerpt":{"rendered":"
Bei Google gibt es zwei Vollzeitstellen von Mitarbeitern, die sich ausschlie\u00dflich um die Sicherheit des Linux-Kernels k\u00fcmmern und diesen auf Schwachstellen analysieren. Zudem verl\u00e4sst sich Google nicht auf externe Repositories f\u00fcr den Kernel, sondern baut sich diesen \u00fcber interne Repositories.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426],"tags":[4305,4328],"class_list":["post-250024","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","tag-linux","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250024","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=250024"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250024\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=250024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=250024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=250024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/11\/Linux.jpg\")
Bei Google gibt es zwei Vollzeitstellen von Mitarbeitern, die sich ausschlie\u00dflich um die Sicherheit des Linux-Kernels k\u00fcmmern und diesen auf Schwachstellen analysieren. Zudem verl\u00e4sst sich Google nicht auf externe Repositories f\u00fcr den Kernel, sondern baut sich diesen \u00fcber interne Repositories.<\/p>\n