Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties
Bron: ZDNet

De hoofdontwikkelaar van de huidige 2.6-kernelserie, Andrew Morton, heeft tijdens de LinuxTag-conferentie, die momenteel plaatsvindt in Duitsland, zijn zorgen geuit over het toenemende aantal bugs in de kernel. Hoewel hij nog geen statistieken heeft verzameld over het huidige aantal bugs in de kernel, waardoor deze ook nog niet kunnen worden vergeleken met gegevens uit het verleden, heeft Morton het idee dat er momenteel meer bugs in de nieuwe kernelversies bijkomen dan dat er opgelost worden.

Andrew Morton (kleiner)Morton heeft daarom ook aangekondigd dat hij dit punt nader zal gaan onderzoeken. Indien blijkt dat zijn vermoeden ook daadwerkelijk klopt, overweegt hij om gedurende een volledige kernelrelease de ontwikkeling van nieuwe features stop te zetten en alleen bugfixes op te nemen in die versie. Morton heeft ook een verklaring voor het toenemend aantal bugs. Volgens hem zijn veel kernelontwikkelaars momenteel in dienst van bedrijven die zich bezig houden met de ontwikkeling van drivers voor nieuwe hardware. Deze bedrijven zijn niet geïnteresseerd in de ondersteuning van oudere hardware. Voor gebruikers van de kernel is dit echter wel relevant, aangezien deze oude hardware nog volop wordt gebruikt. De enige motivatie voor een kernelontwikkelaar om bugs in de drivers voor de oude hardware op te lossen is wanneer ze er zelf door getroffen worden.

Moderatie-faq Wijzig weergave

Reacties (58)

Lijkt me een goede actie, eerst die bugs grondig fixen.. anders krijg je net zo'n lappendeken (met gaten) als windows... :)
Hoezo is Linux geen lappendeken dan?

Suse Linux 9.x kent 140 vulnerabilities (http://secunia.com/product/2467/) van 2003 tot 2006 of Debian met 587(!) lekken (http://secunia.com/product/143/). Ubuntu is ook niet veel probleemlozer. Meer dan 150 lekken in een jaar (http://secunia.com/product/4491/)

Sterker nog, alleen de Linux kernel (2.4) kende in z'n eentje al 56(!) vulnerabilities in dezelfde periode (2003-2006)(http://secunia.com/product/763/)

Dat tegenover heel Windows XP met 111 vulnerabilities...

Wie is nu de lappendeken vraag ik me af...
Bugs != lekken.

Een lek is een bug maar een bug hoeft geen lek te vormen.
26% van de hacks vindt plaats op ongepatchte systemen.
Dus 74% van de hacks vindt plaats op gepatchte systemen. Ik zou nog maar even niet patchen als ik jou was ;)
Hoe dan ook, je zal (veel) moeten patchen. Ook op Linux.
Als je stelt dat Windows een lappendeken is en Linux niet dan sluit je je ogen voor de werkelijkheid.
Blijkbaar zal het allemaal zo kritiek niet zijn want ik heb de laatste tijd niemand horen klagen dat de kernels opmerkelijk onstabieler geworden zijn.

Er wordt dan ook duidelijk gesproken over bugs en niet over kritieke bugs.
Misschien moeten ze dan eens beter gaan opletten. Linux webservers worden wereldwijd bij bosjes gehacked (http://www.zone-h.org/en/stats).

Een van de meest gebruikte methodes is het aanvallen van een "unpached system" (14%) of door gebruik te maken van een "undisclosed (new) vulnerability" (12.1%).

Dat je niemand hoort klagen betekent niet dat er geen problemen zijn...
@yep:
En hoeveel van die lekken zijn kernel problemen? Dat is immers waar dit artikel over gaat.
@yep:
Iedere site die het heeft over "Win NT9x" moet je zowiezo al niet serieus nemen, en aangezien het overgrote deel van de webservers linux draait, is het ook logisch dat er daar meer van gehackt worden, vooral als je kijkt naar de reden: "just for fun". Het hacken van een windows box is namelijk niks aan, een linux box is een grotere uitdaging.
Om precies te zijn, 56 lekken zijn kernel problemen (iets wat ik overigens in mijn eerste post al aangeef...): http://secunia.com/product/763/
Het onderstreept alleen maar mijn punt dat je Linux machines ook moet patchen. 26% van de hacks vindt plaats op ongepatchte systemen. Het ging hier nog altijd om de term "lappen deken". Ik denk dat het nu wel duidelijk is dat Linux net zo'n lappendeken is als Windows.
Debian met 587(!) lekken
en:
Dat tegenover heel Windows XP met 111 vulnerabilities
wat een slechte/misleidende vergelijking. Debian is veel meer dan een OS. Debian is meer dan een Linux kernel alleen. Debian bevat server software, GNOME, KDE, OpenOffice, development tools, etc.

Dat kun je niet zondermeer vergelijken met alleen Windows XP. Als je een eerlijke vergelijking zou willen maken, dan zou je ook bijna alle lekken van bijna alle Windows software bijelkaar moeten optellen...

Bovendien hebben de meeste mensen niet last van alle 587 lekken omdat ze lang niet alle beschikbare pakketten geinstalleerd hebben.
We kunnen het nog mooier maken natuurlijk

debian van alllllllle lekken zijn er 0% ongepatched volgens het taartdiagrammetje onderaan de pagina, versus circa 20% ongepatched van windows XP home.

En nogal logisch dat er sneller bugs gevonden worden, het is open-source verdikkeme. Hoeveel bugs zullen er wel niet gevonden worden als windows open-source wordt? Dat zal een pijnlijke aangelegenheid worden waarschijnlijk.

edit: helemaal wat vergeten, de diagrammen die eronderstaan :D

percentage highly critical en hoger (dus extremely erbij opgeteld)
debian: 16%, windows: 35%
Gaan we dit in absolute getallen uitrekenen is dat:
debian 93 lekken, windows: 39 lekken
Voor een opensource product waarop iedereen hamert, is dat geen slecht getal
gezien het gesloten karakter van windows xp is het zeer waarschijnlijk dat deze nog veel meer veiligheidsrisico's bevat, waar men niet zomaar achter komt.

Het geeft mij een zeer goed gevoel te weten dat er zoveel veiligheidslekken zijn gevonden en gefixed in bijv. de linux kernel.
Ik zet er niet voor niets bij dat alleen de kernel van Linux al 56 advisories kende in drie jaar. Dat is meer dan de helft van alle advisories in heel Windows XP (met alles erop en eraan).
Misschien de secunia website beter lezen?

Debian:
Currently, 2 out of 645 Secunia advisories, are marked as "Unpatched" in the Secunia database.
de andere 98%: al gepatched

Het gaat hier dan ook om lekken die gevonden zijn, waarvan het overgrote deel in korte tijd gepatched is.

Het komt in jouw bericht over alsof debian nog 645 veiligdheidslekken heeft, wat niet het geval is.
@yep
misschien een goed idee als je eens naar buiten ging? het was lekker weer vandaag. heb je vast niks van gemerkt, aangezien 1 op iedere 2 posts in deze thread van jou is, en de meeste om XP te verdedigen en linux af te zeiken...
56 bugs in alleen de kernel van Linux vs. 111 bugs in heel Windows XP
Leuk, dat je de hele tijd met die twee cijfers loopt te schermen, maar dat zegt helemaal niets over de aard van de bugs.

Oftewel:
"There are three types of lies - lies, damn lies, and statistics." - Variously attributed to Benjamin Disraeli, Alfred Marshall, Mark Twain and many other dead people.
mja, 111 is nog altijd (bijna) het dubbele van 56.

Daarnaast is bij linux de broncode openbaar, waardoor lekken sneller gevonden en bekend gemaakt worden.
Het ging niet om het aantal gepatchte of ongepachte bugs. Het ging om de uitspraak "lappendeken". Een OS waarvan alleen al de monolitische kernel 56 advisories kent in drie jaar is mijns inziens net zo'n "lappendeken" als Windows XP (met 111 advisories in dezelfde periode).
So what? Dit geldt twee kanten op. Linux is structureel niet beter dan Windows NT Klaar uit.

Mensen die het tegendeel beweren zijn simpelweg slecht ingelicht en hebben 0,0% ervaring in de computer security. Dat daar een hoop van rondblaten op tweakers.net is niet echt relevant.
@kazue: MEESTERLIJKE OPMERKING!
Het feit dat Windows slecht opgebouwd is kwa veiligheid(monoliet) wordt niet onder de noemer zwakheden geplaatst en daarom kan je het ook slecht gaan vergelijken.

EDIT: ik bedoelde inderdaad dat de beveiliging een monoliet was, sorry voor dat.
@yep
ja, net zo 'fijnmazig' als een zeef zeker. Lekkere beveiliging, als alles standaard met root rechten draait, dan kan je nog zo veel ACL's hebben (die linux ook al lang al heeft), maar als ze toch niet worden gebruikt heb je er niks aan.
@yep:

Hij geeft dan ook aan dat de beveiliging monolithisch is, niet de kernel.
@Pietje Puk:
Mac OS X wordt veel gebruikt door 'leken' (naast 'experts' die gewoon een mooi Unix OS willen hebben), iedereen die MacOS X gebruikt als leek draait 'm als ROOT?

Nee dus, want het ontwerp van het OS voorkomt dat je nodeloos als root moet draaien. Aangezien Linux op eenzelfde manier opgebouwd is, is hier eenzelfde constructie mogelijk.

De reden dat een gebruiker in WinXP als admin werkt is omdat Windows een history heeft van een single-user OS. Inmiddels is dit wel anders, maar veel applicaties houden hier nog geen rekening mee enMS maakt het de gebruiker niet gemakkelijk als je niet als admin wilt werken...
Voor jouw infornatie: Linux is juist een monolitische kernel.
Windows XP heeft meer weg van een microkernel dan Linux...
Er is helemaal niet veel veranderd.
Ik zeg dan ook dat Windows meer weg heeft van een microkernel dan Linux.

Van Wikipedia:
Linux = monolitic kernel (http://en.wikipedia.org/wiki/Monolithic_kernel)
Windows = hybride kernel (http://en.wikipedia.org/wiki/Hybrid_kernel)
Dan mag je mij eerst uitleggen wat je bedoeld met een "monolitische beveiliging"???
Windows heeft met ACL's (al vanaf Windows NT 3.1) een veel fijnmazigere beveiligingsstructuur als Linux.
Linux heeft ook ACL's hoor ;)
Inmiddels heeft Linux ook ACL's, maar idd was Windows daar eerder mee. Dit om historische redenen; omgevingen waar men Linux gebruikte hadden er gewoon minder behoefte aan.
Het feit dat features niet worden gebruikt zegt niets over de mogelijkheden van de features. In tegendeel. Als Linux overheersend was en door leken gebruikt zou worden zou waarschijnlijk iedere Linux gebruiker root rechten hebben. Hiep Hoi.
Als ik de wekelijkse lijst van flaws zie van securityfocus.com dan valt het me echt op dat in de linux kernel sinds een maand of wat steeds meer en meer security related bugs zitten. In windows daarentegen niet. Af en toe eentje.

Ze worden wel snel gefixed, dat is het punt niet, het punt is dat er steeds meer en meer bij komen. Een jaar terug had je soms weken geen een issue, nu iedere week wel 10 of meer.
Om de objectiviteit te bewaren wil ik er graag aan toevoegen dat er wel veel meer nieuwe linux kernel versies uitkomen dan windows kernels.

De overige conclusies moet je zelf maar trekken want dit is niet bedoeld als flame.
Hierbij wil ik toevoegen dat linux tegenwoordig de kernel is en een gigantische hoeveelheid drivers. Deze drivers zijn het probleem als ik dit bericht mag geloven, gebruik je de driver niet, heb je geen probleem.
nuance:
Linux bug worden netjes 1 voor 1 genoemd.
Windows omschrijft alleen Critical security bugs als 1 regel.
Linux zou wel wat meer van de methoden van de OpenBSD ontwikkelaars mogen overnemen. Het uitgebreide auditing van hun code, heeft van OpenBSD een buitengewoon robuust OS gemaakt. Of is Linux hiervoor te groot, en gaan de ontwikkelingen in de kernel te snel?
Linux zou wel wat meer van de methoden van de OpenBSD ontwikkelaars mogen overnemen.
alsjeblieft niet, straks hebben we een tweede Theo rondlopen.

OpenBSD mag dan wel erg secure zijn (eerlijk is eerlijk), maar niet zo geschikt voor het zware multithreaded gebruik waar je Linux of (liever nog) FreeBSD voor inzet. Firewall? Geen probleem. Jumphost? ook te doen. Webserver met tientallen sites, php, mysql, etc? Nee, dat trek je er niet mee. Maar goed, dat is ook niet de doelstelling van OpenBSD als OS.

Desalnietemin heeft Linus zelf ook al eens gezegt dat ie het BSD principe wel prettig vind werken, alleen is er in het begin een andere weg ingeslagen met Linux en daar kun je niet zomaar vanaf wijken.
Euh, persoonlijk zet ik liever Linux in voor multithreaded gebruik aangezien de Linux kernel daar beter geschikt voor is dan de BSD kernel. Maar OpenBSD mag dan nogal strict gemanaged worden, het blijft ongeveer het enige OS dat écht op beveiliging gericht is. Wat dat betreft ben ik van mening dat elke firewall of ander beveiligingsproduct wat niet op OpenBSD gebaseerd is al direct negatieve punten scoort. Gerichte producten als OpenBSD zijn in mijn ogen de toekomst en het gebruik van Linux in routers is dan ook in mijn ogen per definitie FOUT :)

Ook denk ik dat Linus ondertussen inderdaad liever een "beheerst" ontwikkeltraject voor linux had gezien ipv de strijd tussen de tig verschillende distributies. Maar ja, draai dat maar eens om zonder de FSF voor het hoofd te stoten.
De ontwikkeling gaat snel, maar wordt ook vanuit verschillende kanten ontwikkeld. Binnen de kernel hebben een aantal kliekjes hun eigen stukje.

Per definitie heb je dus bugvrijere code op de ene plaats, en experimentelere code aan de andere kant. Het zal je misschien opgevallen zijn dat je in menuconfig ook experimental dingen uit kan zetten.
Het probleem is dat je het nooit goed kan doen. Als je je echt alleen zou concentreren op het bugvrij maken van bestaande code, dan krijg je (nog meer dan nu) klachten dat de ondersteuning van actuele hardware zo slecht is, en doe je het andersom, dan krijg je klachten dat je bugs aan het introduceren bent.
Persoonlijk vind ik het een goede zaak dat bedrijven eindelijk bezig zijn om drivers te bouwen voor linux. Dat deze drivers in eerste instantie niet allemaal 100% zijn kan je m.i. ook niet verwachten. Er is tijd (en gebruik in de praktijk!) nodig om de bugs te vinden. Release je die drivers niet, dan worden ze ook niet getest in de praktijk en ga je die bugs dus ook niet vinden.
Zegt Morton niet eigenlijk: 2.6 bevriezen en alleen bugfixes toelaten, en een nieuwe 2.7 development tree starten ?
Dat zou een hoop mensen blij maken om met nieuwe drivers en features te gaan kunnen spelen, én zou tegelijkertijd een robuustere productie-kernel opleveren.
2.8 zou dat worden, 2.7 is de beta versie
de stelregel bij de linux kernel is dat de even nummertjes stabiel zijn en de odds experimental/beta
Dat is al een tijdje niet meer zo. Op kernel.org is ook geen 2.7 versie te vinden (net ff gecheckt), noch op de main site, nog op de ftp.
Verbaast mij niets. De ontwikkeling van de 2.6 kernels gaat sneller dan je kan bijhouden. Je kan nog geen goed oordeel vellen over hoe de kwaliteit van kernel A is, of kernel B is alweer uit.

Het zou jammer zijn als er op de rem word getrapt, maar een stable versie die alleen nog bugfixes krijgt zou ook niet verkeerd zijn. Mensen die zekerheid willen draaien over een paar jaar 2.6.16.23 en mensen die features en hardware support willen draaien 2.6.25, bij wijze van spreken.
Onzin, als je goed leest komt dit omdat de bedrijven waarvoor die lui werken geen interesse hebben in die platforms. Oftewel, was het closed source geweest dan was compatibiliteit per definitie helemaal niet mogelijk geweest. Nu kan niemand die het werkend wil hebben alsnog z'n itch scratchen.
Is er serieus maar 1 iemand bezig met deze kernel?

Ik stel me zo voor dat o.a. Sun, Microsoft, Oracle...honderden, dan niet duizenden mensen bezig zijn met diezelfde technische layer-software ontwikkeling.

Heeft ie (afgezien van 'de community') verder geen hulp? Professionele dan he...
in het artikel staat duidelijk dat hij de hoofdontwikkelaar is, niet de enige ontwikkelaar.
Verder stelt het artikel duidelijk dat er veel kernelontwikkelaars zijn die dit beroepsmatig doen.

Kortom, er zijn veel kernelontwikkelaars, een aardig aantal wordt er voor betaald, en Morton heeft de leiding ;)
Volgens hem zijn veel kernelontwikkelaars momenteel in dienst van bedrijven die zich bezig houden met de ontwikkeling van drivers voor nieuwe hardware. Deze bedrijven zijn niet geïnteresseerd in de ondersteuning van oudere hardware. Voor gebruikers van de kernel is dit echter wel relevant, aangezien deze oude hardware nog volop wordt gebruikt. De enige motivatie voor een kernelontwikkelaar om bugs in de drivers voor de oude hardware op te lossen is wanneer ze er zelf door getroffen worden.

Er kan dus op z'n minst gestelt worden dat er een vrij beperkte hoeveelheid ontwikkelaars bezig is, aan wat hij eveneens aan het doen is!
Daarbij heeft hij dus duidelijk niet de 'leiding' aangezien veel van deze mensen helemaal niet voor of samen met hem werken, maar voor (derde) bedrijven... ;)
Er kan dus op z'n minst gestelt worden dat er een vrij beperkte hoeveelheid ontwikkelaars bezig is, aan wat hij eveneens aan het doen is!
Tja, hij is de hoofdontwikkelaar, dus hij coordineert de zaak.
Dat is bij de kernelontwikkeling de taak van 1 persoon, en niet van een team (als ik goed op de hoogte ben)
Daarbij heeft hij dus duidelijk niet de 'leiding' aangezien veel van deze mensen helemaal niet voor of samen met hem werken, maar voor (derde) bedrijven...
Klopt, wordt ook wel het bazaarmodel genoemd.
Zo werken de meeste opensource-projecten, zoals kde en gnome.

Dat ontwikkelaars voor derde bedrijven werken wil overigens niet zeggen dat ze onder meer hun gang kunnen gaan, de hoofdontwikkelaar bepaalt of iets in de kernel komt of niet. Het is in het verleden vaak genoeg voor gekomen dat een bepaald bedrijf een bepaalde technologie/functionaliteit voor de linux-kernel heeft ontwikkeld, maar dat het om welke reden dan ook niet in de kernel is opgenomen.
(bijv. omdat een ander bedrijf met een betere implementatie kwam, incompatibiliteit tussen licenties, code voldeed niet aan de eisen, etc..)

Kortgezegd: Morton heeft de leiding in de zin dat hij bepaalt wat wel of niet in de kernel komt, en hij heeft niet de leiding in de zin dat hij bij anderen kan afdwingen dat ze hun code onderhouden of niet.
Kortgezegd: Morton heeft de leiding in de zin dat hij bepaalt wat wel of niet in de kernel komt, en hij heeft niet de leiding in de zin dat hij bij anderen kan afdwingen dat ze hun code onderhouden of niet.

Wat is dat toch voor klets....als die ontwikkelaars bij bedrijven werken - die wel of geen ondersteuning bieden aan oudere hardware - dan heeft hij daar dus per definitie géén leiding over!! Hoe kom je daar toch bij? Ik heb toch ook geen leiding over jou, als je toevallig bij een soortgelijk bedrijf zou werken (en dus niet hetzelfde).... |:(

Misschien wordt er met 'hoofdontwikkelaar' wel bedoelt dat hij gewoon het meeste (geregistreerde) werk verzet..maar misschien helemaal geen leiding pur sang heeft, over andere ontwikkelaars of wie dan ook. Volgens mij wordt er hier iets te makkelijk uitgegaan van 1 centraal persoon die alles wel ff weet en kan regelen...'t is bijna relegie :?
Lijkt me een goede reden om de kernel drastisch te gaan veranderen, drivers in user-mode laten draaien ipv. kernel mode zoals nu het geval is. Een unix clone zoals minix heeft wat dit betreft een streepje voor, tevens gaat de nieuwe Windows dit ook zo oplossen.
Wat jij wilt is een selecte range van resources toebedelen aan een stukje software. Niets mis mee, maar heeft opzich weer weinig met usermode drivers te maken. libusb is wel een aardig voorbeeld hoe het kan...
Mooi werk ik gebruik zins kort ook linux (ubuntu), eerst het oud maken voor je verder gaat, goed instelling. :Y)

Moet zeggen dat het prima werkt out-of-the-box alles werkte gelijk zoals het zou moeten.
Linux is een goeie kernel. Ik ben er tevreden mee.

Wat me alleen een beetje begint dwars te zitten is dat het niet meer echt Unix style is.
En wel in dit opzicht: Unix was bedoeld als simpel, klein en solide. Het liefst zo min mogelijk regels code per functie.

Linux begint een beetje uit ze voegen te barsten. Ik ben bang voor Windows taferelen.

Linux is not simple anymore. Unix died the same way.

Tijd voor actie. Ik hoop dat ze leren van de fouten die al eerder in computer land zijn gemaakt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True