리눅스 커널, 보안 버그 기준 및 책임 있는 AI 활용 방침 제시

출처: Slashdot

Linux 7.1 커널에 새로운 문서가 추가되어, 무엇이 보안 버그에 해당하는지와 AI‑지원 취약점 보고를 어떻게 처리해야 하는지에 대해 명확히 하고 있습니다. Phoronix가 보도한 바에 따르면, 최근 Linux 커널에 보안 버그가 급증하고 AI를 전부 혹은 일부 활용해 발견한 버그·보안 보고도 늘어나면서 추가 문서가 필요해졌다고 합니다. 오랜 기간 Linux 개발에 몸담아 온 Willy Tarreau가 커널 버그에 관한 추가 문서를 작성했습니다. 문서가 다소 길어 Slashdot 기사에 모두 담기엔 어려워 요점을 정리하면 다음과 같습니다.

• AI‑지원 취약점 보고는 **“공개된 것으로 취급”**해야 합니다. 이러한 발견은 “여러 연구자에게 동시에, 종종 같은 날에 체계적으로 나타난다”는 점이 이유입니다.
• 보고자는 재현 코드를 공개적으로 올리는 대신, “재현 코드가 존재한다는 것만 언급”하고 유지보수자가 요청할 경우 비공개로 제공해야 합니다.
• AI‑지원 보고자는 제출을 간결하고 순수 텍스트 형태로 유지하고, 추측에 기반한 결과가 아니라 검증 가능한 영향에 초점을 맞춰야 합니다.
• 철저히 테스트된 재현 코드를 포함하고, 가능하다면 수정안을 제시하고 테스트해 함께 제출합니다.

보안 버그에 해당하는지 여부에 대한 기준은 다음과 같습니다. 문서에 따르면 비공개 보안 리스트는 “올바르게 구성된 프로덕션 시스템에서 공격자가 가져서는 안 될 권한을 부여하고, 쉽게 악용될 수 있어 다수 사용자에게 즉각적인 위협이 되는 긴급 버그”를 위한 것입니다. 보고자는 해당 문제가 신뢰 경계를 실제로 넘는지를 고려해야 합니다. 많은 비공개 보고 버그가 사실은 일반적인 결함이며, 일반 공개 보고 절차에 포함되어야 하기 때문입니다.

모든 새로운 문서는 이 커밋을 통해 확인할 수 있습니다.

더 자세한 내용은 Slashdot에서 확인하세요.