Op de lijst raakte Torvalds deze week in discussie met een lid van de PaX bugpatchergroep. Deze had geklaagd dat beveiligingsbugs niet voldoende als zodanig worden omschreven, en meegaan in de stroom van de gewone foutjes. De impact die een bug kan hebben wordt volgens hem niet voldoende omschreven, iets dat volgens de ontwikkelaar het toedekken van beveiligingsproblemen noemt.

Daar blijkt Torvalds het niet meer eens. "Deze discussie hebben we een paar weken geleden gevoerd, en ik heb geen zin om het opnieuw uit te leggen", schrijft de Linuxvader in een e-mail. "Ik zie security-bugs als 'gewone bugs'. Ik dek ze niet toe, maar ik zie ook geen enkele reden om ze te laten volgen en ze als iets speciaals aan te merken." Het beleid zal daarom volgens hem dan ook blijven zoals hij is.

Verderop in de mailingstroom gaat Torvalds in op wat hij het 'circus' van de ict-security noemt, waarvan hij vindt dat het "het verkeerde gedrag verzaligt en daarmee aanmoedigt." Dat gaat volgens Torvalds ten koste van het oplossen van gewone, 'saaie' bugs. Gewone bugs, zo schrijft hij, zijn vele malen belangrijker dan securitybugs omdat het er vele malen meer zijn. Hij noemt beveiligers daarom "zwart-wit denkers" die hij niet kan uitstaan, en vooral de OpenBSD-gemeenschap krijgt er op dat punt van langs. "De OpenBSD-groep is er een van masturberende apen, op de manier dat ze zelf toegeven dat niets anders dan security er voor hen toe doet", stelt Torvalds onsubtiel. OpenBSD is een open source Unixvariant waar de beveiliging hoog op de agenda staat.

Vanuit de OpenBSD-gemeenschap is onderhand gereageerd op de uitlatingen van Torvalds. Tegenover het Britse ZDNet laat OpenBSD-ontwikkelaar Ken Westerback weten dat het project alle bugs onder de loep neemt, juist in het belang van de beveiliging. "Wat mij betreft heeft OpenBSD bewezen het repareren van alle bugs en het systematisch doorzoeken van de broncode juist het meest serieus te nemen, hoe triviaal sommige bugs ook zijn", schrijft hij aan de website. "Dat is het fundamentele principe van het nastreven van veiligheid – software 'dat gewoon werkt' in plaats van Rube Goldberg-achtige constructies met allerlei knoppen en beveiligingstheater."

Een andere ontwikkelaar, Kjell Wooding, voegt daar in hetzelfde artikel aan toe dat "het OpenBSD-project dat ik ken zich niet richt op beveiliging: het richt zich erop dat de boel klopt."

Torvalds heeft donderdag contact opgenomen met de gemeenschap, zo meldt een derde ontwikkelaar, en dat hij zijn excuses heeft aangeboden. Bron: Techworld