Wenn sich Linus Torvalds einmal an einer öffentlichen Diskussion beteiligt, dann hat er selten Problem sich "unmissverständlich" auszudrücken. Der Linux-"Erfinder" hat in der Vergangenheit seine Aussagen immer wieder mit starken Worten untermauert, so hat er etwa die EntwicklerInnen des GNOME-Desktops schon mal als "User-Interface-Nazis" bezeichnet.

Sicherheit

Ähnlich deftige Ansagen gab es nun auch vor einigen Wochen in Richtung der Security-Community: Er weigere sich mit dem ganzen "Sicherheitszirkus" auseinanderzusetzen, so Torvalds, dieser glorifiziere schlicht falsches Verhalten. SicherheitsexpertInnen würden zu HeldInnen hochstilisiert, als ob das Beseitigen von "normalen" Bugs nicht ebenso wichtig wäre.

Affe

Besonders angetan haben es ihm die EntwicklerInnen der besonders auf Sicherheit ausgerichteten freien Unix-Varianten OpenBSD: Diese bezeichnet er wörtlich als "Gruppe von masturbierenden Affen", da sie die Sicherheitsfixierung so weit treiben, dass nichts anderes mehr einen Stellenwert hat.

Problematik

In einem Mail-Austausch mit NetworkWorld hat Torvalds nun näher erläutert, warum er die aktuelle Situation in der Sicherheits-Community für vollkommen verfahren hält: Diese teile sich derzeit in zwei Lager: Eines, das es für der Weisheit letzter Schluss hält, alle Security-Bugs möglichst geheim zu halten, bis jeder Hersteller den Fehler beseitigt hat und ein zweites, das alle Bugs sofort öffentlich macht, weil es die meisten Sicherheitshersteller für "korrupt" hält.

Verrückt

Auch wenn Torvalds zumindest die letztere Einschätzung teilt, so hält er doch beide Lager für "verrückt". Anstatt sinnlos Kraft auf die Auseinandersetzung mit der anderen Seite zu verschwenden, sollte man lieber einen - besseren - Mittelweg finden.

Lösung

Den sieht der Linux-Erfinder in einem Ansatz, der einfach Bugs so schnell wie möglich beseitigt, ohne einen großen Wind darum zu machen. Natürlich müssen dabei auch die jeweiligen EntwicklerInnen eine gewisse Zeit im voraus informiert werden, die jetzige Praxis der großen Sicherheitshersteller, oft monatelang auf Fixes der Softwareproduzenten zu warten, sei allerdings nicht tragbar.

Design

Ebenfalls als kontraproduktiv sieht er die Praxis der gleichzeitigen Veröffentlichung von Fixes mehrerer Hersteller an. All dies führe nur dazu, dass die EntwicklerInnen immer weniger Gedanken darüber machen, wie sie ihre Anwendungen von grundauf sicherer designen können. (red)