Linus, métricas e segurança

Linus Torvalds escreveu recentemente sobre schedulers e segurança na lista linux-kernel:

SCHEDULERS can be objectively tested. There's this thing called "performance", that can generally be quantified on a load basis. Yes, you can have crazy ideas in both schedulers and security. Yes, you can simplify both for a particular load. Yes, you can make mistakes in both. But the *discussion* on security seems to never get down to real numbers. So the difference between them is simple: one is "hard science". The other one is "people wanking around with their opinions".

Em seguida ele completa:

ANOTHER difference is that when it comes to schedulers, I feel like I actually can make an informed decision. Which means that I'm perfectly happy to just make that decision, and take the flak that I get for it. And I do (both decide, and get flak). That's my job. In contrast, when it comes to security, I see people making IDIOTIC arguments, and I absolutely *know* that those arguments are pure and utter crap, and at the same time, I see that those people are supposed to be "experts".

Não poderia ser melhor dito. Infelizmente a métrica mais usada em segurança é o "achômetro". Basta ver o que os "especialistas em segurança" recomendam para políticas de senha: validade máxima para a senha, regras de construção de alta complexidade, validade mínima para a senha, tamanho mínimo de senha, bloqueio após n falhas, não reutilização de senhas, não compartilhamento de senhas, não escrever senhas em papel. Todas esta recomendações são colocadas de forma genérica, sem discriminação de caso, sem verificação de impacto (seja positivo ou negativo) e principalmente sem métricas palpáveis para validar o controle. Como eu disse em um "post" anterior, nossa área vive de lendas, dogmas e disputas quase religiosas. Parabéns ao Linus por apontar nossos defeitos.

Fonte original do artigo: Perilocity