Ian Jackson wehrt sich gegen die Vorwürfe, die dem Xen-Projekt hinsichtlich seines Umgangs mit sicherheitskritischem Code gemacht wurden.
In einem Beitrag zum Xen-Blog wehrt sich Ian Jackson gegen die Vorwürfe, die das Qubes-OS-Team erhoben hat, Xen unternehme zu wenig, um so schwerwiegende Sicherheitslücken zu verhindern wie den letzte Woche gefundenen potenziellen VM-Escape . Jackson ist eine bekannte Figur in der Welt der freien Software, der etwa den Debian-Paketmanager Dpkg geschrieben hat und auch Debian Project Leader war. Jetzt arbeitet er im Security-Team des Xen-Projekts.
Seine Antwort auf die Vorwürfe lautet, dass Xen in erster Linie deshalb den Eindruck erwecke, von vielen Bugs geplagt zu sein, weil das Projekt schonungslos jede Sicherheitslücke öffentlich mache und dokumentieren. Sicher sei in der Vergangenheit zu wenig Gewicht auf sicheres Programmieren gelegt worden, aber das unterscheide Xen nicht von anderen Projekten, in denen Bequemlichkeit vor Sicherheit rangiere. In den letzten Xen-Releases wie 4.6 wurde der Grundstein dafür gelegt, künftig eine Security-Policy für die Xen Security Modules (XSM) auszuliefern, die Übergriffe des Hypervisors auf den Host und andere Gastsystem verhindern sollen.
Letztlich sei Jackson der Meinung, dass in Xen weniger sicherheitskritische Bugs steckten als in anderen Hypervisor-Systemen, egal ob frei oder kommerziell. Xen sei die beste verfügbare Lösung dafür, eine sicherheitskritische Infrastruktur aufzubauen, so Jackson.
Um Docker auf dem Xen-Hypervisor zu betreiben, arbeitet das Xen-Projekt mit der chinesischen Firma Hyper zusammen.