หลังเหตุการณ์ไลนัสปล่อยระเบิดกลางวงนักพัฒนาเคอร์เนล เหตุการณ์หลังจากนั้นก็คลี่คลายลงเมื่อ Matthew Garret จากกูเกิลซักว่าปัญหาของแพตช์ชุดที่ Kees Cook ส่งเข้ามามีปัญหาอย่างไร ไลนัสกลับตอบว่าแพตช์ที่ส่งมาก็ดูดีอยู่แล้ว เพราะตั้งค่าเริ่มต้นให้เตือนอย่างเดียว

เขาขอโทษที่ใช้คำรุนแรงเกินไป โดยให้เหตุผลว่าอารมณ์เสียจากการ merge โค้ดในลินุกซ์ 4.15 นานกว่าที่คาดไว้ เนื่องจากเป็นเวอร์ชั่นปกติ ไม่ใช่ LTS เหมือน 4.14 แต่กระบวนการรวมโค้ดก็นานอยู่ดี

อีเมลอีกฉบับหนึ่งเขาชี้แจงถึงความคาดหวังจากคนทำงานด้านความปลอดภัย ที่มักจะพยายามสร้างระบบป้องกันอย่างหนาแน่น เพื่อไม่ให้ระบบรั่ว และเมื่อซอฟต์แวร์ผิดพลาดจริง เมื่อมีการป้องกันจนกระทั่งซอฟต์แวร์หยุดทำงานได้เมื่อมีการเจาะระบบก็ถือว่างานของตัวเองสำเร็จแล้ว แต่กับผู้ใช้และนักพัฒนาคนอื่นๆ แล้วงานกลับยากขึ้น

เขาชี้ว่าการล็อกระบบให้ปลอดภัยยิ่งขึ้น (hardening) มักจะไปเจอบั๊กอื่นๆ ที่ไม่ใช่ช่องโหว่ความปลอดภัย บั๊กเหล่านี้อาจจะอยู่มานานและซอฟต์แวร์ก็ทำงานได้มาโดยตลอด แต่เมื่อมีการล็อกระบบเช่นนี้กลายเป็นว่าผู้ใช้ใช้งานไม่ได้ และเมื่อนักพัฒนาคนอื่นจะเข้ามาแก้บั๊ก การล็อกระบบเช่นนี้มักทำให้ข้อมูลที่ส่งให้กับนักพัฒนาน้อยลงไปกว่าปกติเพราะซอฟต์แวร์ตายไปเสียก่อน

เขาเรียกร้องให้คนสายความปลอดภัย "อย่าทำอันตราย" (do no harm - เป็นคติของคนทำงานสายสาธารณสุขด้วย) เมื่อเริ่มต้นการล็อกระบบใดๆ ควรเริ่มจากการแจ้งเตือนเสมอ ไม่ล็อกระบบ ไม่ฆ่าซอฟต์แวร์ ไม่บล็อคการเข้าถึงระบบ และย้ำว่าถ้าไม่มีผู้ใช้ การล็อกระบบจนปลอดภัยก็ไม่มีประโยชน์อันใดขึ้นมา

ที่มา - The Register