![[HaBo]](/styles/default/logoklein.png){kind=small}
Kernel-Entwickler gründen Security-Mailing-Liste
Die Entwickler des
Linux-Kernels
wollen eine Mailing-Liste ins Leben rufen, auf der nur Informationen über Sicherheitslücken im Kernel ausgetauscht werden. Mit der Liste, die demnächst
offiziell eingeführt werden soll, reagieren die Kernel-Entwickler auf Vorwürfe anderer Open-Source-Entwickler und Sicherheitsspezialisten in den vergangenen
Wochen, dass Hinweise zu Schwachstellen in der Flut anderer Nachrichten und Mails untergingen.
Chris Wright hat für die neue Kernel-Security-Liste bereits eine
Policy
zur Diskussion gestellt. Demnach wird auch sie ein geschlossenes Forum so genannter Security Officers sein, die die gemeldeten Fehler aufbereiten und weiterleiten.
Mit dem jeweiligen Entdecker der Lücke will man zusammen an einem Patch arbeiten, der so schnell wie möglich veröffentlicht werden soll. Über die Schwachstelle
will man ebenfalls so schnell wie möglich Informationen herausgeben --
Alan Cox schlägt
einen Zeitrahmen von 14 Tagen vor. Allerdings behält man sich vor, die Herausgabe zu verzögern, wenn der Fehler bis dahin noch nicht verstanden worden sei
oder der Patch noch nicht hinreichend getestet wurde. Man wolle aber in einem Zeitrahmen bleiben, der in Tagen und nicht in Wochen oder Monaten gemessen
wird.
Damit grenzen sich die Entwickler auch von der geschlossenen Mailing-Liste der Linux-Distributoren Vendor-Sec ab. Dort können die Hersteller die Veröffentlichung
von Details zu Schwachstellen mit einem Embargo belegen, bis zu dessen Rücknahme nichts nach außen dringen darf. Ein Embargo soll es auf der neuen Liste
nicht geben.jjjjjjjjjjjjj
Die Entwickler des
Linux-Kernels
wollen eine Mailing-Liste ins Leben rufen, auf der nur Informationen über Sicherheitslücken im Kernel ausgetauscht werden. Mit der Liste, die demnächst
offiziell eingeführt werden soll, reagieren die Kernel-Entwickler auf Vorwürfe anderer Open-Source-Entwickler und Sicherheitsspezialisten in den vergangenen
Wochen, dass Hinweise zu Schwachstellen in der Flut anderer Nachrichten und Mails untergingen.
Chris Wright hat für die neue Kernel-Security-Liste bereits eine
Policy
zur Diskussion gestellt. Demnach wird auch sie ein geschlossenes Forum so genannter Security Officers sein, die die gemeldeten Fehler aufbereiten und weiterleiten.
Mit dem jeweiligen Entdecker der Lücke will man zusammen an einem Patch arbeiten, der so schnell wie möglich veröffentlicht werden soll. Über die Schwachstelle
will man ebenfalls so schnell wie möglich Informationen herausgeben --
Alan Cox schlägt
einen Zeitrahmen von 14 Tagen vor. Allerdings behält man sich vor, die Herausgabe zu verzögern, wenn der Fehler bis dahin noch nicht verstanden worden sei
oder der Patch noch nicht hinreichend getestet wurde. Man wolle aber in einem Zeitrahmen bleiben, der in Tagen und nicht in Wochen oder Monaten gemessen
wird.
Damit grenzen sich die Entwickler auch von der geschlossenen Mailing-Liste der Linux-Distributoren Vendor-Sec ab. Dort können die Hersteller die Veröffentlichung
von Details zu Schwachstellen mit einem Embargo belegen, bis zu dessen Rücknahme nichts nach außen dringen darf. Ein Embargo soll es auf der neuen Liste
nicht geben.jjjjjjjjjjjjj