Das ist zumindest die Meinung von Kees Cook vom Google Open Source Security Team, der viel Zeit in die Verbesserung der Sicherheit des Linux-Kernels steckt. Er begründet sein Statement mit der Tatsache, dass die nötigen Bugfix-Releases für den Mainline Kernel annähernd 100 Fixes pro Woche umfassen.
Angst vor Regressionen
Dies übe Druck auf Linux-Anbieter aus – einschließlich derjenigen, die die zahllosen Produkte unterstützen, auf denen Linux läuft, denn sie müssten ständig entscheiden, welche Patches für sie wichtig seien und dies dann einpflegen. Die ständige Aktualisierung des Kernels stoße vielerorts auf Ablehnung, so Cook, da immer die Gefahr bestehe, gleichzeitig Regressionen einzuführen.
Um die Dringlichkeit der Lage zu verdeutlichen, bezieht sich Cook auf Googles Fuzzing-Tool Syzcaller. das derzeit rund 1.000 mögliche Probleme im Kernel erkennt. Davon werden laut Cook rund 400 im Jahr beseitigt. Die Zahl der erkannten möglichen Probleme erhöhe sich jährlich um rund 100, sodass die Zahl der potenziellen Risiken ständig ansteige.
Denkbare Lösungen
Cook beschreibt in seinem Artikel einige für ihn denkbare Lösungen. Neben einer größeren Zahl von Testern vor einem stabilen Release nennt er die Verbesserung des Linux-Entwicklungs-Workflows als von entscheidender Bedeutung für die Erweiterung der Möglichkeiten aller Beteiligten, einen Beitrag zu leisten. Der E-Mail Arbeitsablauf von Linux sei in die Jahre gekommen, die vorgelagerte Entwicklung von automatisiertem Patch-Tracking, kontinuierlicher Integration, Fuzzing und vermehrten Tests würde den Entwicklungsprozess laut Cook deutlich effizienter machen.
100 Entwickler fehlen
Maintainer müssen neue Reviewer ausgiebig an ihrem Wissen über die einzelnen Sub-Systeme teil haben lassen, denn die Tester von heute seien die Maintainer von morgen. Cook schätzt, dass dem Kernel selbst, den Compilern und den Toolchains derzeit mindestens 100 Entwickler fehlen. Dieses Minus aufzufüllen sei die einzige Lösung, die ein ausgewogenes Maß an Sicherheit zu vernünftigen langfristigen Kosten gewährleisten könne, so Cook. Zudem müsse in der weiteren Entwicklung eine speichersichere Sprache wie Rust im Kernel gefördert werden.
Der Linux-Entwicklungs-Workflow mit korrekt formatierten E-Mails für die richtige Mailingliste ist doch zum Weglaufen.
Das stimmt, aber es ist auch ein Schüttelsieb: Wer mit diesen Vorgaben nicht so gut klarkommt, wird mit den Vorgaben zu Code, Stil und stringenter Weiterentwicklung des Linux-Kernels/Subsystemen nicht glücklich sein. Meritokratie und Genialität hinter Ideen (auch wenn die ersten Code-Submits mangelhaft sind) sollen die Entwicklung bestimmen. Vor Git, mit Bitkeeper, war es auch alles noch schlimmer. Es ist ein organisch gewachsenes Projekt.
Das der Staat es besser kann..:glaube ich nicht.
das der Staat mehr Open Source benutzen sollte…gerne.
aber Fakt ist doch:
gegen die Gehälter von Google & Co. Haben die Unis keine Chancen mehr.
früher kamen Neuheiten und Grundlagenforschung aus dem Uni Bereich, das geht immer mehr flöten.
der Zug ist abgefahren.
wer will ein Lehrstuhl wenn er bei Google das X fache verdient und das selbe machen kann.
und wer hier die Politik der Grünen und Sozialwissenschaftler und Tauben Nüsse a la Baerbock und Co sieht der weiß wo in 20-30 Jahren China stehen wird. und wo Deutschland/ Europa sein wird. China spielt seine Macht immer mehr in den Organisationen für Standards aus.
die sind einfach hungriger…
Deutschland / Frankreich und deren gelangweilten grünen Akademiker wollen lieber den Planeten retten…
oder Afrika…
Was hat China denn so hervorgebracht in den letzten 10 Jahren im Tech-Bereich, wo der vermeintlich satte Westen versagt hat?
Z.B. Microcontroller für unter 3 US Cent.
Guck mal auf github. Alles was mit Bilderkennung und KI zu tun hat, kommt aus China. Da hat der angebliche “HI-TECH Westen” schon lange den Anschluß verloren.
Beispiele? Guck auf GitHub ist doch kein Beleg.
Ich kann diesen pauschalen Abgesang auf den Westen einfach nicht mehr lesen. Gern noch mit ein bisschen Glorifizierung von starken Männern…
Beispiel: Erster Flüssigsalzreaktor in China kurz vor Inbetriebnahme
Was hat Dein glorreicher “Westen” denn so hervorgebracht in den letzten 10 Jahren im Tech-Bereich? Gern noch mit ein bisschen Glorifizierung von Frauen und Transgendern…
Ob das ein Fortschritt ist wird sich erst noch zeigen lassen. Nicht alles was neu ist ist auch gut – manchmal ist es auch nur eine Sau, die irgend jemand irgendwo durchs Dorf treibt.
Ach ja .. Kernreaktoren findest du gut ?? na ja ..
Wenn ich mich richtig erinnere, haben Flüssigsalzreaktoren einige Vorteile. Das Spaltmaterial ist weniger strahlend und wenn die Reaktion außer Kontrolle gerät, stoppt sie sich selbst. Auch ist das alles nicht neu, in den ca. 1950 war das schon in Benutztung (Thorium-Reaktor), die US-Airforce wollte solche Reaktoren für Ihre Flugzeuge. Neben dem schwächeren Wirkungsgrad war aber noch ausschlaggebend für Uran, dass man mit diesen “zivilen” Reaktoren auch gleich das Bombenmaterial erbrüten konnte. Alles ohne Gewähr, schon Jahre her, dass ich das mal aufgeschnappt habe.
Nachtrag: Da isser doch
Das mag so sein. Thorium-Reaktoren waren auch in Deutschland schon in der Entwicklung.
Das sie konzeptionelle vorteile haben ist bekannt aber das reicht nicht aus um Atomkraft wieder diskussionswürdig zu machen.
Ansonsten soll man nicht alles durcheinanderschmeißen. Was du da über das Erbrüten schreibst betrifft Schnelle Brüter, die dann wieder mit Uran laufen und mit Natrium gekühlt werden müssen und Plutonium erzeugen.
Also .. Atomkraft ist – das sage ich als ehemaliger begeisterten Atomenergieanhänger – tot und ein bisschen Rumgebastel in China macht sie nicht lebendig.
Im Rest der Welt diskutiert niemand darüber, man baut einfach.
Man sollte nicht in chauvinistischer Manier von sich selbst auf den Rest der Welt schließen:
Neue Reaktoren werden weltweit geplant – und gebaut
Man hat die Thorium-Reaktoren zugunsten der Uran-Spalter auch deshalb fallengelassen, weil eben die Miltärs scharf auf das Bombenmaterial waren. Das meinte ich. War rein Informativ und hat keinen Anteil zwischen den Zeilen wie: “will man das oder will man das nicht” oder “finde ich gut oder finde ich schlecht”. Diesen Punkt kann ich nicht berurteilen, dazu fehlen mir das Fundament an Interessenbefreitem Wissen.
Wasser als Kühlmedium ist ebenfalls nicht notwendig. Deshalb kann China das erste Kraftwerk in einer Wüste bauen.
Das solltest Du den Polen, Franzosen, Schweden, Schweizern und Italienern erzählen:
Neue Reaktoren werden weltweit geplant – und gebaut
Die polnischen und französischen Kernreaktoren werden übrigens direkt in Sichtweite der deutschen Grenze gebaut werden.
Es geht hier allein um die Frage, ob ein Sack Reis, der in China umfällt oder irgendwelche Salzreaktoren der Nachweis dafür sind, das China uns voraus oder vorbildlich ist.
In Deutschland sind aus wohl erwogenen Gründen die KKW-projekte alle eingestellt worden aber – wie gesagt – darum geht es hier und jetzt nicht.
Früher war alles was in Polynesien passierte traumhaft, dann waren es die USA, dann Japan und jetzt ist China der heilige Gral – egal was da getrieben wird. Die bauen auch ohne Ende Kohlekraftwerke.
Andreas oder wie immer Du auch heißen magst: Ich hab schon wieder Mails vom Inhaber der von Dir verwendeten E-Mail-Adresse. Lass es bitte sein! Bei sowas vergeht mir echt die Lust an der Arbeit, die ich hier reinstecke.
Ach wie süß. Da frisst aber jemand schon lange Propaganda und kann das artig widergeben. Alle im Westen sind verweichtliche Homosexuelle und unser Ende ist nah. Predigt RT auf Geheiß des Kreml auch andauernd.
Nur 100 Kernelentwickler fehlen?
“Alphabet total number of employees in 2020 was 135,301, a 13.79% increase from 2019.”
Dann sollte Google die 100 Entwickler schnell einstellen. Bei 135.301 Angestellten sollte das für Google durchaus finanzierbar sein, das fällt nicht einmal groß auf. Schließlich ist Google mit seinem Android auch der größte Nutzniesser des Linux-Kernels.
Die Frage dabei ist, ob es diese Zahl an fähigen Kernel-Entwicklern gibt, die gerade einen Job suchen oder bereit sind, ihren Job für einen Job bei Google aufzugeben. Ich denke, der Aufruf sollte eher an vom Kernel nutznießende Unternehmen gehen, Kernel-Entwickler ganz oder in Teilzeit für die Arbeit am Kernel freizustellen.
Nun ja, das wäre auch eine Geldfrage. Ich denke, daß z.B. RedHat durchaus bereit wäre einige Kernelentwickler damit zu beschäftigen, wenn Google (Alphabet) das bezahlen würde…
warum sollte Google das?
Red Hat /IBM verdienen an Linux-Kunden irre Summen und sie haben für die zertifizierung und die Sicherheit der Software gerade zu stehen. Dann sollen sie auch die Programmierarbeit leisten. Jeder fixt den Teil, den seine Kunden bzw er selbst benötigen.
Das passt dann schon.
Wenn die irgendwas nicht fixen fällt es ihnen eben ein paar Tage/wochen/Monate vor die Füße und es wird sehr teuer.
Artikel gelesen?
Wenn der Hauptnutznießer des Linux-Kernels mehr Entwickler braucht, dann soll er die auch bezahlen.
Und was genau gefällt Kees Cook vom Google Open Source Security Team daran nicht? Das er seine Kernel-Patches für sein Android nicht umsonst bekommt?
nicht zuletzt laufen bei google, facebook, amazone und weiteren hunderttausende von Servern unter Linux und die verdienen eine Schw***egeld damit. Wenn die kein originäres Interesse daran haben, dass die Systeme sicher laufen und bereit sind, darin ausreichend Geld zu investieren – wer sonst?
Da ganze Gejammer um fehlende Entwickler .. ja .. soll der Staat auch noch den Digital-Großverdienern die Entwicklung der Software abnehmen?
lachhaft.
Nachdem Amazon jetzt auch offiziell keine Steuern in der EU zahlt, wäre das der logische nächste Schritt… 😉
Amazon: Trotz Mega-Umsatz – Internet-Riese zahlt keinen Cent Steuern in der EU
Das ist der Satz, auf den ich gewartet habe:
“Zudem müsse in der weiteren Entwicklung eine speichersichere Sprache wie Rust im Kernel gefördert werden.”
Eine Stufenweise Umstellung der Codebasis auf Rust würde langfristig den Kernel deutlich sicherer machen.
Die Frage ist halt, ob Linus das so mag, denn eines seiner Argumente für C ist, dass er schon beim Schreiben des C Codes anhand seiner Erfahrung abschätzen kann, welchen Assemblercode der Compiler daraus erzeugt. Mit Rust wird das schwieriger.
Ganz zufälligerweise schlägt Google Rust vor… Ein Schelm wer Schlechtes dabei denkt.
Ah, im letzten Satz steht’s dann worum es eigentlich geht.
Bis dahin dachte ich beim lesen, wenn Google mit den tollen Tools rausfinden kann, dass 100 Entwickler fehlen, um den Weltuntergang zu verhindern, dann kann es doch auch diese gleich zur Verfügung stellen. Die paar $ merken die noch nicht mal.
Ein wichtiger Aufruf. Auch sollte OSS, speziell Linux staatlich unterstützt werden, schon deshalb um sich eine eigene saubere Umgebung, frei von Konzernzwängen schaffen zu können.
Aha und wie soll der Staat das über das bisherige Maß hinaus deiner Meinung nach tun?
Stipendien, public money, public code.
Aha kannst du auch mehr als Phrasen?
Da steht als erstes die Frage an, ob sich der Staat nur noch als Förderer von Konzerninteressen versteht, oder ob der Staat die Allgemeininteressen wieder mehr in seinen Blick nehmen sollte. Für die öffentliche Verwaltung sollte m.M.n. ausschließlich auf FOSS gesetzt werden, da ansonsten eine öffentliche Kontrolle und Sicherheit nicht gewährleistet werden kann. Im Grunde eine Selbstverständlichkeit in einer Demokratie. Grundsätze der Aufklährung wie die Gewaltenteilung beruhen alle auf dem Prinzip der Tranzparenz die es bei öffentlichen Belangen auch und gerade bei verwendeten Software geben sollte. Anstatt Microsoft jährlich Milliarden von Steuergeldern zu zuspielen, könnten auch ein paar Entwickler beschäftigt werden um sehr viel kostengünstiger Projekte in der öffentlichen Verwaltung voran zu bringen.
Das man dann irgendwann auch am Linux-Kernel mitarbeitet, ergibt sich hierdurch von allein.
Die Probleme die hier im Artikel thematisiert werden ergeben sich automatisch mit der hohen Dynamik in der sich der Linux-Kernel mittlerweile entwickelt. Linux wird immer wichtiger in den Zukunftsbereichen. Intel, Microsoft, Oracel ect. haben das längst verstanden. Weshalb sollte sich ausgerechnet der Staat dieser Entwicklung verschleißen und keine eigenen Kompetenzen hier aufbauen?
Es ist kein gutes Zeichen wenn sich Staaten in ihrer Kernkompetenz, der Verwaltung, von dritten komplett abhängig machen.
Und wie willst du FOSS für die Öffentliche Verwaltung im über das aktuelle Maß hinaus finanzieren? Wo sind die großen Dienstleister, die der Staat beauftragen kann? Red Hat und SUSE findest du ja schon überall. Oder soll der Staat selbst Programmierer und Administratoren beschäftigen? Wenn ja, woher denkst du sollen die kommen, bei E13 als Ende der Lohnskala? Allgemeine Lohnerhöhung im Öffentlichen Dienst?
Wir brauchen ein E14 und E15.
Das brauchen wir auch, wenn wir die Finanzierung der Rente von dem alten Modell auf Aktien umstellen wollen.
Da das aber nicht jeder beherrscht und auch eine zeitliche Firmenanalyse viel Zeit und Expertise benötigt, sollten die Rentengelder in einen Staatsfond eingezahlt werden und der soll dann davon die Aktien kaufen.
Damit das aber etwas wird, brauchst du wie in der Cybersecurity auch, hochqualifiziertes Personal die diesen Fond managen, also Experten die das auch können.
Dafür muss dann ein E14 und E15 her, gerne auch mit Bonuszahlungen für gute Arbeit.
Klar, gerne. Erklärst du diese massive Gehaltssteigerung im Öffentlichen Dienst dann der Bevölkerung?
Ich meine, wenn der normale Höhere Dienst bei E14/E15 steht, dann brauchst du für die Führungsfiguren ja E16/E17 usw. usf. Ich kann das nicht kalkulieren, aber da geht es bestimmt um Millionen, wenn nicht gar Milliarden.
Ansonsten richtig, man könnte das Problem über eine massive Anhebung der Gehälter im ÖD lösen.
Für die normalen Beamten würde ich ne Grenze bei E13 machen.
Die E14 und E15 Gehälter sind dann nur für die genannten Berufe bestimmt, weil es da wegen dem ansonsten besseren Angebot auf dem freien Markt nicht anders geht.
Also ne pragmatische Lösung.
Auf dem freien Markt gibt’s schließlich auch keine Gleichberechtigung bei den Gehältern zwischen geringqualifizierten und hochqualifizierten.
Du gewichtest dann also einen Informatiker höher als einen Spezialisten für Gesundheitsmanagement mit abgeschlossenem MPH beim Gesundheitsamt (um mal einen wichtigen Beruf in Zeiten der Pandemie zu nennen)?
Dann haben wir irgendwann zig Tabellen bzw. Tarifverträge für jede unterschiedliche Berufsgruppe im ÖD. Und da wir ja meistens nicht mehr verbeamten können die dann alle individuell für ihre Rechte streiken. Ich freue mich 🙂
Eine andere Möglichkeit ist es Firmen einen Auftrag zu erteilen.
Bei FOSS kommt es schlicht auf die Lizenz an, mit der die Software veröffentlicht wird.
Hast du bessere Lösungen um fähige Leute in die staatliche Cyberabwehr zu bekommen, wenn diese Leute bei Google einen > 100000 Dollar Jahresvertrag bekommen würden?
Und wäre es dir deine Rente es nicht wert, da qualifiziertes Personal zu bekommen, die Aktien kaufen, die dann auch Gewinn machen mit der du dann deine Rente ausbezahlt bekommst?
Ich sehe die Lösung eher im Vorschlag von tuxnix Aufträge an Dienstleister zu vergeben. Dazu müsste die Szene aber ihre spalterischen Tendenzen und ihr Kleinklein aufgeben, weil 10-Mann-Klitschen bekommen keine staatlichen Aufträge.
Direkt Finanzierung durch den Staat über Personal im ÖD halte ich aus o.g. Gründen für unrealistisch.
Mich stört halt diese: “Staat mach mal”-Mentalität in der FOSS-Szene, die völlig Realitäten jedweder Natur verkennt und sich dann wundert, dass nichts passiert. Das ist typische Traumtänzerei von Studenten und Nerds.
Cyberabwehr ist militärisch relevant, da geht es um die nationale Sicherheit.
Um in der Bundeswehr Soldat sein zu dürfen musst du deutscher Staatsbürger sein, gleiches gilt für ähnliche Positionen im BND und Co..
Die gleiche Regel wäre auch bei der Cyberabwehr notwendig.
Wie stellst du sicher, dass diese Dienstleister nur deutsche Staatsbürger anstellen und wie willst du die Kontrolle darüber haben, dass diese Personen umfangreich geprüft wurden, wenn der Dienstleister diese Möglichkeit wie sie ein Inlandsgeheimdienst hätte, gar nicht hat?
Und da hört es nicht auf. An Nordstream 2 konnte man sehen, das private Firmen und ihre Inhaber und Angestellte mit Repressalien bedroht wurden, wenn sie an Nordstream 2 weiterarbeiten. Die eine schweizer Firma hat daraufhin die Arbeiten an Nordstream eingestellt.
Wie willst du sicherstellen, dass nicht auch private Cyberabwehrfirmen die für den deutschen Staat auf Auftragsbasis arbeiten, erpresst werden?
Ich sehe da zu viele Schwierigkeiten. Meiner Meinung nach gehört so eine Cybereinheit in staatlicher Hand und wenn man da dann gute Leute kriegen will, dann führt kein Weg daran vorbei, entsprechende Gehälter anzubieten.
Das ist einfach so.
Wie kommst du plötzlich auf die Bereiche Cyberabwehr & Co? Glaubst du der Staat existiert darüber hinaus nicht?
Weil ich das ganz oben bereits erwähnt habe und das zum Thema höhere Gehälter und Spitzenleute zu bekommen, dazugehört.
Das ist aber eine super Nische in dem Bereich. Wollen wir auch über Nautikexperten sprechen?
Noch nie gehört. Was ist das?
Das sind Gehaltsgruppen im ÖD für Führungskräfte. Ich finde man kann über das Thema nur diskutieren, wenn man wenigstens die grundlegenden Fakten auf den Tisch legt.
Das mit den Aktien ist allerdings eine miese Idee, da die ja keinerlei Wert schaffen (vom Glücksspielcharakter ganz abgesehen) – nur Geld auszahlen sollen, das bei einer Giralgeldschöpfung ja schlicht von den Schuldnern bezahlt wird. Wenn diese Schuldner im Inland sitzen, haben wir selbst mit Nationalscheuklappen nichts gewonnen – eigentlich ist es mir aber ziemlich egal, wo die Verlierer sitzen, ein Geldsystem, bei dem mehr als die Hälfte der Beteiligten verlieren _muss_, ist einfach Mist, und damit kann das eben auch nicht Basis eines funktionierenden Renten- (oder eines sonstigen) Systems sein.
Freie Forschung, Qualitätsprüfung, Weiterentwicklung freier Software an den Universitäten, Bevorzugung dieser Software in Behörden, Schulen usw. Innovationspreise für herausragende Leistungen. Anerkennung als “Welterbe” oder ähnlich.
Und am Ende habe ich keinen funktionsfähigen Staat, weil ich freie Software bevorzugen muss, die nicht gleichwertig ist und ich kein Personal habe, dass die Situation verbessern kann. Dann haben wir den Salat. Hat man in München ja schon gesehen.
“In der Vergangenheit hatte es wiederholt Angriffe auf die IT-Infrastruktur öffentlicher Einrichtungen in Berlin gegeben. Besonders prominent war 2015 eine wochenlange Attacke auf das Rechnernetz des Bundestags, bei der Hacker in größerem Umfang Daten erbeuteten. (…)
Im Jahr 2019 legte der Emotet-Virus das Computersystem des Berliner Kammergerichts lahn. Die Auswirkungen waren noch weit bis ins Jahr 2020 zu spüren.(…)”
Quelle: https://www.tagesspiegel.de/berlin/massive-angriffe-unbekannte-attackieren-computersysteme-der-tu-berlin/27148794.html
Frage: Wer genau soll denn am Kernel mitarbeiten? Bisher sind die “Spezialisten” noch nicht einmal in der Lage ihre Netzwerke zu administrieren?
Der Staat hat andere Aufgaben als OSS zum Durchbruch zu verhelfen und die anderen Aufgaben werden oft nur durchschnittlich gut erledigt.
Genau, weil “der Staat” ja eine so wahnsinnig tolle Erfolgsquote vorweisen kann.
ich nehme mal an, du bist Deutscher. Schau dir mal deinen Staat an, der könnte nicht mal ein öffentliches Häusl vernünftig betreiben. Und so einen korrupten, unfähigen, verantwortungslosen Haufen willst du im Kernel haben? Habe ich eine bessere Idee: Staaten und Regime möglichst aus der Kernel-Entwicklung raushalten, und Salonbolschewisten, die sowas fordern, gleich dazu.