Google ja Linux Foundation ovat ilmoittaneet suunnitelmistaan rahoittaa kaksi kokopäiväistä ylläpitäjää, jotka keskittyvät yksinomaan Linux-ytimen turvallisuus.
Gustavo Silva ja Nathan-kansleriMolemmat aktiiviset Linux-avustajat pyrkivät vahvistamaan ytimen ylläpitoa ja turvallisuutta sekä siihen liittyviä aloitteita. taata vapaan ohjelmistoprojektin elinkelpoisuus suosituin käyttäjien keskuudessa tulevina vuosikymmeninä.
Tavoite on tehdä mitä läsnä oleva käyttöjärjestelmä on kestävämpiKoska tutkimus osoittaa, että avoimen lähdekoodin ohjelmistoja on parannettava, etenkin Linuxissa.
Raportti Linux Foundation Open Source Security Foundation (OpenSSF) ja Harvardin yliopiston innovaatiotieteellinen laboratorio (LISH) löysi puutteen avoimen lähdekoodin ohjelmistoista.
Vapaa ja avoimen lähdekoodin ohjelmisto (FOSS) on tullut olennainen osa modernia taloutta. Ilmaisten ohjelmistojen arvioidaan muodostavan 80-90 prosenttia kaikista nykyaikaisista ohjelmistoista, ja ohjelmistot ovat yhä tärkeämpi resurssi lähes kaikilla toimialoilla, Linux Foundationin mukaan.
Ymmärtää parantaa vapaan ja avoimen lähdekoodin ohjelmistojen ekosysteemin turvallisuuden tilaa ja kestävyyttä ja miten organisaatioiden ja yritysten kanssa voi tukea sitä, OpenSSF ja LISH ovat tehneet yhteistyötä laajan tutkimuksen tekemiseksi osallistujia tämäntyyppisiin ohjelmistoihin osana laajempaa pyrkimystä omaksua ennaltaehkäisevä lähestymistapa kyberturvallisuuden vahvistamiseen parantamalla ilmaisten ohjelmistojen turvallisuutta.
Tavoitteet kyselystä oli ymmärtää avoimen lähdekoodin ohjelmistojen turvallisuuden ja kestävyyden tila ja tunnistaa mahdollisuudet parantaa sitä ja varmistaa avoimen lähdekoodin ohjelmistojen toimivuus tulevaisuudessa. Tulokset tunnistivat syitä optimismiin avoimen lähdekoodin ohjelmistojen tulevaisuudesta.
"Toimitusketjun ja avoimen lähdekoodin ohjelmistojen turvallisuus ovat välttämättömiä", sanoi Google-ohjelmistosuunnittelija Dan Lorenc. "Yritämme puhua siitä nyt ja näyttää ihmisille, miten teemme sen, jotta heitä voidaan rohkaista ja innostaa ja löytää muita tapoja auttaa meitä myös."
Lorenc näkee kaksi avainta avoimen lähdekoodin ohjelmistojen turvallisuudesta. Ensimmäinen on se, että se tulee ihmisiltä ympäri maailmaa, joista jotkut saattavat olla pahantahtoisia tai joilla on huonoja aikomuksia, mikä on avoimen lähdekoodin ohjelmistojen luontainen turvallisuusongelma. Toinen on se, että se on ohjelmisto ja kaikilla ohjelmistoilla on tahallisia tai tahattomia puutteita, jotka on korjattava.
"Se, että koodi ei ole sinun, ei tarkoita sitä, ettei virheitä ole", Lorenc lisäsi. "Se on eräänlainen väärinkäsitys, jonka monet yritykset alkavat ymmärtää." Nämä kaksi tekijää yhdistettynä avoimen lähdekoodin ohjelmistoja käyttävien ihmisten kasvavaan määrään tekevät turvallisuudesta ensisijaisen tärkeän. "Meillä on kunnia tukea Gustavo Silvan ja Nathan Chancellorin pyrkimyksiä vahvistaa Linux-ytimen turvallisuutta", hän lisäsi.
Liittokansleri, yksi kehittäjistä, joka ottaa tämän roolin, on työskennellyt Linux-ytimen parissa neljä ja puoli vuotta. Kaksi vuotta sitten hän alkoi osallistua Linuxin pääversioon osana ClangBuiltLinux-projektia, aloitetta Linux-ytimen rakentamiseksi Clang- ja LLVM-rakennustyökaluilla.
Se keskittyy kaikkien Clang / LLVM-kääntäjien löydettyjen virheiden luokitteluun ja korjaamiseen samalla kun pyrimme luomaan jatkuvia integraatiojärjestelmiä, jotka tukevat tätä työtä tulevaisuudessa. Kun nämä tavoitteet ovat paikallaan, aiot aloittaa toiminnallisuuden lisäämisen ja ytimen virittämisen näiden rakennustekniikoiden avulla.
liittokansleri odottaa enemmän ihmisiä aloittavan projektin käytön kääntäjän infrastruktuuri LLVM ja osallistua jälkimmäiseen ja ytinkorjaukset, koska "se vie pitkän matkan kohti Linuxin turvallisuuden parantamista kaikille", hän sanoi lausunnossaan.
Silva alkoi työskennellä ytimen parissa osana Linux Foundationin Central Infrastructure Initiative -ohjelmaa, ohjelmaa, jossa ytimessä työskentelevät insinöörit ohjaavat nuoria kehittäjiä.
Tällä hetkellä hänen kokopäiväinen tietoturvatyönsä on keskittynyt puskurien ylivuotojen erilaisten luokkien poistamiseen. Se pyrkii myös korjaamaan haavoittuvuudet ennen kuin ne pääsevät päälinjaan ja kehittämään puolustusmekanismeja, jotka poistavat kokonaiset haavoittuvuusluokat. Silva julkaisi ensimmäisen ytimen korjaustiedoston vuonna 2010 ja on ollut viiden parhaan aktiivisen ytimen kehittäjän joukossa vuodesta 2017 lähtien.
"Pyrimme rakentamaan korkealaatuisen ytimen, joka on luotettava, kestävä ja vastustuskykyisempi kaiken aikaa", Silva sanoi. "Näiden ponnistelujen avulla toivomme, että ihmiset, erityisesti ylläpitäjät, tunnistavat sellaisten muutosten hyväksymisen tärkeyden, jotka tekevät heidän koodistaan vähemmän alttiita yleisille virheille."
lähde: https://www.linuxfoundation.org