Xen-Entwickler Ian Jackson hat in einem Blogeintrag inoffiziell auf die Kritik des Qubes-Projekt am Umgang mit der Sicherheit reagiert.
Der Druck, neue Features in Software einzubauen, sei deutlich stärker als der, die Sicherheit zu erhöhen, schreibt Jackson, der Teil des Security-Teams von Xen ist, aber auch langjähriger Debian-Entwickler. Das Xen-Projekt veröffentliche im Vergleich zu ähnlichen Projekten allerdings sehr viele Informationen zu Sicherheitslücken, auch, wenn diese gar nicht Xen selbst direkt betreffen, sondern beispielsweise den Kernel oder Qemu.
Die Entwickler der sicherheitsfokussierten Qubes-Distribution hatten sich insbesondere über eine ernste Sicherheitslücke beschwert, die sieben Jahre unentdeckt in Xen schlummerte und für die es mittlerweile einen Patch gibt. Aufgrund der Lücke hatten die Qubes-Entwickler Konsequenzen für die Programmierpraxis des Projekts angemahnt (Linux-Magazin berichtete).
Neuer Code für das Projekt würde jedoch hinsichtlich der Qualität bereits deutlich strenger beurteilt als früher, antwortet Jackson. Zudem probieren Forscher neue Analysetechniken gern an Xen aus, woraus eine signifikante Zahl der Sicherheitsmeldungen entstehe. Nach seiner Aussage tue das Xen-Projekt in Sachen Sicherheit ohnehin deutlich mehr als die (proprietäre) Konkurrenz. Die veröffentliche Sicherheitslücken mitunter gar nicht, zeige dann aber gegenüber den Kunden gern auf die Security-Advisories von Xen, um den Hypervisor in ein schlechtes Licht zu rücken.
Er sei überzeugt, dass Xen deutlich weniger Bugs aufweise als andere proprietäre und freie Hypervisor. Dennoch gebe es natürlich Luft nach oben. Er würde es begrüßen, wenn die Community mehr sicherheitsrelevante Beiträge an das Projekt schicken würde.






