Im Jahr 2010 hatte Jonathan Corbet die Lebensdauer von Sicherheitslücken im Linux-Kernel untersucht und herausgefunden, dass die durchschnittliche Dauer zwischen Meldung und Behebung einer Lücke jeweils ca. 5 Jahre dauert.
Kees („Case“) Cook – Entwickler bei Google – analysierte alle Bugs aus dem Kernel-Bugtracker von Ubuntu für den Zeitraum von 2011 bis 2016 und kam zu einem ähnlichen Ergebnis:
- Critical: 2 @ 3.3 years
- High: 34 @ 6.4 years
- Medium: 334 @ 5.2 years
- Low: 186 @ 5.0 years
Er erstellte außerdem ein Diagramm mit der Lebenszeit dieser Bugs und ein anderes, das nur die als kritisch und höchst kritisch eingestuften Sicherheitslücken fokussiert. Diese Slides im können hier als PDF geöffnet oder heruntergeladen werden.
Es existiert bereits heute eine immense Anzahl an Geräten, deren Software auf dem Linux-Kernel aufbauen: 1.4 Milliarden aktive Android Devices (im Jahre 2015), unsere Autos, die International Space Station (Nasa) und viele weitere. Durch das exponentiell wachsende Internet der Dinge wird sich die Verwendung rasant potenzieren.
Ende 2015 ging daher das Kernel Self Protection Project (KSPP) an den Start, damit der Linux-Kernel nicht nur sicher läuft, sondern vor allem um Sicherheitslücken im Vorfeld zu erkennen und eine proaktive Verteidigungs-Technologie in den Kernel zu implementieren.
Der Vortrag von Kees Cook zu diesem Thema ist als Video verfügbar. Weitere Informationen finden Sie in den Quellen-Nachweisen unter diesem Artikel.
Video ansehen
