Список, о котором разработчики планируют объявить в ближайшее время, служит ответом на подозрения о том, что некоторые сообщения об уязвимостях теряются в большом количестве писем, направляемых в группу разработки ядра. «Наша цель — сохранять процесс как можно более открытым, — сказал Крис Райт, разработчик ядра Linux из Open Source Development Labs. — Иногда программисты предпочитают сообщать о секьюрити-багах частным образом, чтобы до обнародования этой информации успеть оценить последствия и подготовить поправку. Список поможет гарантировать это и не даст таким сообщениям затеряться». Список почтовой рассылки, который станет контактной точкой для сообщений о проблемах безопасности ядра, явился результатом нескольких недель споров по поводу того, насколько доступным он должен быть для широкой публики. Вопрос обнародования информации о проблемах безопасности вызывает острые споры не только в группе разработке ядра, но и в сообществе программистов в целом. Одни утверждают, что разглашение сведений об ошибках в программах подрывает безопасность интернета, другие настаивают на том, что ошибки обычно бывают вызваны плохой организацией разработки и недостаточным вниманием к вопросам безопасности. Практика, принятая в индустрии коммерческого ПО, состоит в требовании, чтобы эксперты, обнаружившие ошибки, дожидались, пока софтверная компания выпустит исправление, прежде чем обнародовать детали найденной уязвимости. Однако создатель оригинального ядра Linux Линус Торвальдс отвергает этот подход. «Лично я предпочитаю максимально возможную открытость; она создает очень комфортные условия, — сказал он в недавнем интервью по e-mail CNET News.com. — Это требует достижения определенного уровня безопасности — и в то же время побуждает стремиться к нему, а те, кого в какой-то момент времени этот требуемый уровень безопасности начинает раздражать, восстают против открытости».
SecurityLab