Új dokumentáció került be a Linux 7.1 kernel fejlesztési ágába, amely világosabb iránymutatást ad, hogy milyen hibákat kell biztonsági problémaként jelenteni. A dokumentáció megszületésének az oka, hogy az utóbbi időben számos bejelentés érkezett a kernel biztonsági csapatához, ezek jelentős része azonban inkább programhibának minősült mint sérülékenységnek. A helyzetet az AI-alapú kódelemző eszközök is nehezítik, mert egyre több jelentés származik ilyen vizsgálatokból, gyakran túl hosszú, és átláthatatlan leírással, bizonytalan következtetésekkel.

A Willy Tarreau által készített iránymutatás szerint a kernelhibák többségét továbbra is nyilvános fejlesztői csatornákon érdemes kezelni. Ezáltal több karbantartó és tesztelő tud részt venni a problémák megoldásában, ami eredményesebb javításokhoz vezethet. A biztonsági csatornát azoknak az eseteknek tartják fenn, amelyek éles rendszereken valódi jogosultságszerzést vagy közvetlenül kihasználható támadást tesznek lehetővé.
Az új iránymutatás szerint a bejelentőknek először el kell dönteniük, hogy a hiba valóban jogosulatlan hozzáférést vagy jogosultságszerzést tesz-e lehetővé egy megfelelően beállított rendszeren. Ha ez egyértelműen kizárható, akkor a problémát a megszokott nyilvános hibajelentési csatornákon kell bejelenteni. A hagyományos programhibák biztonsági listára küldése nem eredményez gyorsabb javítást, viszont feleslegesen terheli a valódi sérülékenységek kivizsgálására fenntartott csatornát.
A dokumentáció szerint az AI segítségével azonosított hibákat alapértelmezés szerint nyilvánosnak kell tekinteni, mert ugyanazokat a problémákat gyakran több kutató is megtalálja, akár ugyanazon a napon. Reprodukálható példát ugyanakkor nem ajánlott rögtön nyilvánosan mellékelni; elég jelezni, hogy rendelkezésre áll, így a karbantartók szükség esetén privát megkeresésben elkérhetik.
Az AI-alapú jelentéseknél a kernel fejlesztői rövid, egyszerű szöveges leírást várnak, felesleges formázás nélkül. A beadvány elején világosan szerepelnie kell az érintett fájloknak, verzióknak, a reprodukálhatóság módjának, illetve hogy a hiba milyen ellenőrizhető következménnyel jár. Spekulatív következtetések helyett bizonyítható tényeket várnak. Ha nincs reprodukálható példa, vagy a javasolt hibajavítást nem tesztelték, akkor a jelentés könnyen figyelmen kívül maradhat.
A kapcsolódó commit itt olvasható.
