중복된 취약성 보고서가 넘쳐 Linux 보안 메일링 목록을 '거의 완전히 관리하기 어렵게' 만들었습니다 — Linus Torvalds는 개인 목록이 '모든 사용자에게 시간 낭비'라고 말했습니다.

리누스 토발즈(Linus Torvalds)는 지난 일요일 LKML(Linux Kernel Mailing List)에 대한 주간 게시물에서 Linux 커널의 개인 보안 메일링 목록을 "거의 완전히 관리하기 어렵다"고 선언했으며, 동일한 코드에 대해 동일한 AI 도구를 실행하는 연구원들이 생성한 중복된 취약점 보고서의 홍수를 비난했습니다.불만 사항은 Linux 7.1-rc4 릴리스와 AI 지원 버그 보고서를 처리하는 방법을 공식화하는 새로 병합된 문서에 대한 포인터와 함께 제공되었습니다.

Torvalds에 따르면 문제는 양과 중복성의 조합입니다. 여러 연구자가 자동화 도구를 사용하여 독립적으로 동일한 버그를 발견하고 이를 개인 메일링 리스트에 별도로 제출하고 있는데, 거기에는 이미 제출된 내용을 아무도 볼 수 없습니다.유지관리자는 중복 항목을 분류하고 보고자에게 몇 주 전에 병합된 수정 사항을 안내하는 데 시간을 소비합니다.

Torvalds는 LKML에 "AI가 발견한 버그는 정의상 거의 비밀이 아니며 비공개 목록에서 이를 처리하는 것은 관련된 모든 사람에게 시간 낭비입니다."라고 썼습니다.

Torvalds는 개발자들에게 AI 도구를 사용하여 발견된 취약점은 공개로 처리되어야 하며 개인 보안 목록을 통해 전달되지 않고 관련 유지관리자에게 직접 제출되어야 한다고 명시한 프로젝트의 보안 버그 문서를 지적했습니다.보고서는 간결해야 하고, 일반 텍스트 형식이어야 하며, 검증된 사본을 포함해야 합니다.

지난 3월, HAProxy의 창시자이자 오랫동안 Linux 커널 안정 관리자로 활동해 온 Willy Tarreau는 LWN에 게시된 댓글에서 2년 전에는 일주일에 대략 2~3개의 보고서를 받았던 커널 보안 메일링 리스트가 이제는 하루에 5~10개의 보고서를 받는다고 말했습니다.대부분은 확실한 발견이지만 유사한 도구를 사용하는 연구자 간의 중복으로 인해 기존 분류 프로세스가 압도되었습니다.

Torvalds는 연구원들에게 원시 결과를 제출하는 것보다 더 많은 노력을 기울일 것을 촉구했습니다."실제로 가치를 더하고 싶다면 문서를 읽고, 패치도 만들고, AI가 한 일 위에 실제 가치를 추가하세요."라고 그는 썼습니다."'진짜 이해도 없이 무작위로 보고서를 보내는' 종류의 사람이 되지 마십시오."