O criador do núcleo do sistema operativo Linux confessa estar farto do “circo” gerado em torno das vulnerabilidades de software, e o exagero com o qual têm sido abordadas, pelo fabricantes, especialmente do ponto de vista da divulgação. O programador que desenvolveu o núcleo do sistema operativo Linux, Linus Torvalds,  manifestou-se, num blog, a respeito da abordagem dos fabricantes e técnicos de software de segurança, e o exagero com que divulgam as vulnerabilidades. Não só pela linguagem e alusões com que o técnico se dirigiu à referida comunidade, as palavras do inventor causaram incómodo na indústria das TI.  Torvalds diz-se farto do “circo” que se desenvolve à volta das vulnerabilidades e segurança do software.

Em Julho, Torvalds declarou num blog que  uma das razões para “ recusar incomodar-se com todo o circo de segurança” é que ele, na sua opinião, “glorifica, - e por isso encoraja-comportamentos errados”. Na visão do mesmo, faz dos técnicos de segurança, heróis, “como se as pessoas que concertam bugs normais não tivessem a mesma importância”.” Com efeito, todos os bugs normais, são muito mais importantes, simplesmente porque existem  em maior quantidade”.
Torvalds acaba por dirigir o seu ataque também à comunidade OpenBSD: “Penso que as pessoas da OpenBSD são um bando de macacos que assume obssessivamente, a segurança como o aspecto mais importante, ao ponto de admitirem que mais nada lhes interessa”. Mais tarde, o norueguês revelou que a única pessoa com quem falou sobre  a parte  dos  ”macacos”, achou-a divertida. Mas também admitiu haver quem achasse a declaração muito ofensiva.
Mas mais importante do que isso, o programador explicou porque considera as pessoas da segurança muito obcecadas. Demasiadas vezes,  a chamada “segurança” é separada em dois grupos: um acredita em não divulgar os problemas, escondendo o conhecimento sobre as vulnerabilidades até um bug ser neutralizado; e outra que se diverte ao expor falhas de segurança de fabricantes de tecnologia de segurança, porque veêm isso como mais uma prova de que essas empresas são corruptas e não prestam, o que até é verdade  para a maior parte delas”, considera Torvalds. Cada vez mais polémico, o técnico considera que os dois grupos são “doidos”. "Os dois estão a esgotar-se pelas suas próprias razões, e apontam o dedo entre si como uma forma de cimentar as razões para existirem", Torvalds  declara o programador. Ele diz que muita da actividade em ambos os campos nascem de atitudes vaidosas de relações públicas.
Ele considera que  nenhum dos campos está absolutamente correcto em qualquer situação, e que uma via intermédia é sempre preferível. Esta via será baseada numa atitude mais centrada na resolução dos problemas, o mais depressa possível, com pouco alarido. "É preciso concertar as coisas muito cedo, e isso exige um certo nível de transparência para os programadores," diz Torvalds, antes de acrescentar "também não será preciso realizar uma grande produção à volta disso."

Torvalds também considera que não se importa com a etiquetagem de actualizações e mudanças  no Linux, como correcções de segurança numa perspectiva  de aconselhamento de segurança.

"O que é que a etiquetagem de segurança oferece? Excepto alimentar os dois campos de relações públicas que eu obviamente penso serem dois idiotas a pugnarem pela sua agenda?”, considera  Torvalds says. "Só perpetua essa mentalidade falsa” e constitui um desperdício de recursos, considera. Por outro lado é melhor evitar a adopção de apenas uma das atitudes “a revelação imediata e completa” ou ignorar os bugs que possam embaraçar os fabricantes, considera. “Qualquer situação capaz de permitir ao fabricante esconder o bug durante semanas ou meses é inaceitável, tal como em qualquer situação que  torne difícil às pessoas que descobrirem e falar com os técnicos.”
Torvalds afirma-se  céptico sobre o valor de edições sincronizadas entre fabricantes capazes de favorecerem a ideia de um embargo de informação sobre vulnerabilidades de software até uma correcção estar pronta. Esse processo desencoraja a reflexão sobre as mudanças de concepção capazes de tornar mais difícil surgirem bugs de segurança, afirma Torvalds. “Portanto, a mentalidade do ‘todos  os embargos são bons’ é apenas reflexo de acções corruptas dos fabricantes. Mas  por outro lado, a revelação não deve ser o objectivo”.

"Não acredito em qualquer dos grupos”, resume Torvalds. O que ele apoia é " um modelo no qual a segurança seja mais fácil de conseguir – isto é, o modelo Unix – mas que ao mesmo tempo facilite o reporte de falhas sem embargos, mas de forma privada”.

Lista de vulnerabilidades do Linux “é privada”

Linus Torvalds diz que a lista de questões de segurança do núcleo do Linux “é privada” no sentido em que “não é preciso divulgar as vulnerabilidades” muito além de algumas esferas, para um problema de software ser resolvido. Ele diz que o processo permite, embora não encoraje, um embargo de cinco dias, e “até nessa altura, deverá prosseguir para a equipa técnica conforme for necessário, porque até esse segredo, não é uma coisa absoluta e insana”.