Opinion Brawte nfaq 0 Comments

LinuxカーネルのKroah-Hartman氏:新しいコーダーを獲得するのに苦労しているのではなく、ボトルネックとなっているのはコードレビューだ

Table of Contents

LinuxカーネルのKroah-Hartman氏:新しいコーダーを獲得するのに苦労しているのではなく、ボトルネックとなっているのはコードレビューだ

Open Source Summit Europe本日のオンライン Open Source Summit Europe カンファレンスの「専門家に聞く」セッションで、Linux カーネルの安定ブランチのメンテナーである Greg Kroah-Hartman 氏は、コードには多くの新しい貢献者がいるものの、ボトルネックとなっているのはコードをレビューする人材を見つけることだと語った。

おそらく、Linux Foundation の理事 Sarah Novotny 氏のコメントへの返答として、Kroah-Hartman 氏に、議論のためにカーネル パッチを送信する際にプレーン テキスト メールに依存していることが、新しい貢献者を阻んでいるかどうか質問されました。

「貢献を阻んでいるのはそこではありません」とクロア=ハートマン氏はオンライン聴衆に語った。「リリースごとに200人以上の新規開発者が参加しています。つまり、3ヶ月ごとに200人以上の新規開発者が加わっていることになります。今のところ、新規開発者の問題はありません。」

「確かに、メールクライアントを動作させるのは難しいですが、その方法についてはしっかりとしたドキュメントがあります。チュートリアルや投稿もあります。lore.kernel.orgでも作業を容易にするために取り組んでいます。しかし、最大のボトルネックはメンテナーです。レビュー作業です。」

カーネル開発者は、「週に700件以上のパッチをレビューしなければならず、それが今、私たちのボトルネックになっている」と述べた。さらに、「パッチを提出したいのであれば、他の人のパッチもレビューしない理由はない」と付け加えた。

音楽と同じで、曲を書くことから始めるのではなく、曲を読んで批評することから始めるのです。プログラミングでも同じで、他の人のコードを読んでレビューするべきです。

クロア=ハートマン氏は、カーネルコード記述におけるRustの利用に向けた進捗についても語った。「Rust開発者は1年半前にリーナス(トーバルズ氏)と話し、素晴らしいですね、それではどうなるか見てみましょうと提案しました」と彼は述べた。最近のLinux Plumbers Conferenceでもこのテーマに関するセッションがあったという。

「今は最先端のRustコンパイラを使っているんです」とクロア=ハートマン氏は言う。「オブジェクトの寿命や、C言語のオブジェクトとRustのオブジェクトとの間に興味深い相互作用が起こるでしょう。それがどのように処理されるのか、興味深いところです。ただ、彼らはそれに取り組んでいます…Rustは単なる別の言語ですからね。」

リナックス

リナス・トーバルズ氏、廃止されたアドレス指定のアーティファクトを廃止した「歴史的な」Linux 5.10を称賛

続きを読む

安全性が極めて重要な環境でLinuxを使うことについて、彼はどう考えているのだろうか?「飛行機に乗ったことがある人なら誰でも知っていると思いますが、ここ10年、飛行機はLinuxで制御されていました。つまり、今ではLinuxが安全性が極めて重要な環境になっているということです」と彼はニヤリと笑って言った。

「Linuxは通信システムを動かし、株式市場を動かし、衛星を動かし、巨大ヨットの転覆を防いでいます。自動車業界でも、ヘッドユニットにも長年使われてきました。誰もオペレーティングシステムを書きたいとは思っていません。ただ、問題を解決するアプリケーションを書きたいだけなのです。現在、Linuxの認証取得に取り組んでいますが、それはLinux自体とは無関係です」と彼は述べた。

その後、議論はLTS(長期サポート)リリースのセキュリティに移りました。Kroah-Hartman氏は、アップデートを恣意的に選んではいけないと警告しました。

「チェリーピッキングは必ず失敗する、保証します。既知のセキュリティ問題は毎週修正しています。そして、毎週大量の未知のセキュリティ問題も修正しています。それを常に把握し、何がセキュリティ上の問題で何がそうでないかを判断するのは不可能です。」

今月、インテルはLinuxカーネルのBluetoothスタックにセキュリティホールがあることを早まって公表し、カーネルバージョン5.9、そしてその後5.10で修正されると発表しましたが、5.10のリリースは12月まで先延ばしにされていました。残念ながら、インテルはアドバイザリの中で、これらのホールを塞ぐ特定のカーネルソースコードパッチについて言及していましたが、おそらくは注目を集めないようにするため、セキュリティ修正として明確にラベル付けされていませんでした。これで、世界中にバグ(発見したGoogleのエンジニアが「BleedingTooth」と名付けた)がどこにあるのかが分かってしまいました。これらのバグは、ルート権限の取得や、近くの脆弱なデバイスで無線経由でコード実行に悪用される可能性があります。

こうした状況を踏まえ、クロア=ハートマン氏はインテルとの協力とセキュリティ開示プロセスについて何かご意見はありますか?「インテルの情報開示はうまくいっていない。残念だ。状況は改善していない。Bluetoothの問題はインテルの責任であり、適切に開示されていなかった」とクロア=ハートマン氏は述べた。

一方、チップメーカーは、「協調開示と呼ばれる開示慣行に従っており、これによるとサイバーセキュリティの脆弱性は通常、緩和策が利用可能になった後にのみ公表される」と主張している。

カーネルメンテナーは依然としてこのプロセスに満足していないようです。緩和策はソースコードで入手可能ですが、修正を組み込んだカーネルはまだ正式にリリースされていません。®

Opinion

Smart Recommendations

Discover More