Google et la Linux Foundation ont annoncé des plans pour financer deux mainteneurs à temps plein qui se concentreront exclusivement dans le développement de sécurité du noyau Linux.
Gustavo Silva et Nathan Chancelier, tous deux contributeurs actifs à Linux, travailleront pour renforcer la maintenance et améliorer la sécurité du noyau et des initiatives associées pour garantir la viabilité du projet de logiciel libre le plus populaire au monde pour les utilisateurs pour les décennies à venir.
L'objectif est de faire quoi le système d'exploitation omniprésent est plus durablecar la recherche indique qu'il est nécessaire d'améliorer la sécurité des logiciels open source, en particulier sous Linux.
Un rapport de la Linux Foundation Open Source Security Foundation (OpenSSF) et du Harvard University Innovation Science Laboratory (LISH) a constaté un manque d'efforts de sécurité dans les logiciels open source.
Les logiciels libres et open source (FOSS) sont devenus un élément essentiel de l'économie moderne. On estime que les logiciels libres représentent 80 à 90% de tous les logiciels modernes, et les logiciels sont une ressource de plus en plus vitale dans presque tous les secteurs, selon la Linux Foundation.
Para comprender améliorer l'état de sécurité et la durabilité de l'écosystème logiciel libre et open source et comment organisations et entreprises peut le supporter, OpenSSF et LISH ont collaboré pour mener une enquête approfondie des contributeurs à ce type de logiciel dans le cadre d'un effort plus large pour adopter une approche préventive pour renforcer la cybersécurité en améliorant la sécurité des logiciels libres.
Les objectifs de cette enquête étaient comprendre l'état de la sécurité et la durabilité des logiciels open source et identifier les opportunités pour l'améliorer et assurer la viabilité des logiciels open source à l'avenir. Les résultats ont identifié des raisons d'optimisme quant à l'avenir des logiciels open source.
«La sécurité de la chaîne d'approvisionnement et la sécurité des logiciels open source sont essentielles», a déclaré Dan Lorenc, ingénieur logiciel chez Google. "Nous essayons d'en parler maintenant et de montrer aux gens comment nous le faisons, afin qu'ils puissent être encouragés et inspirés et trouver d'autres moyens de nous aider également."
Lorenc voit deux éléments clés au sujet de la sécurité des logiciels open source. Le premier est le fait qu'il provient de personnes du monde entier, dont certaines peuvent être malveillantes ou avoir de mauvaises intentions, un problème de sécurité inhérent aux logiciels open source. L'autre est le fait que ce sont des logiciels et que tous les logiciels ont des défauts, intentionnels ou non, qui doivent être corrigés.
"Ce n'est pas parce que le code n'est pas le vôtre qu'il n'y a pas de bogues", a ajouté Lorenc. "C'est une sorte d'idée fausse que beaucoup d'entreprises commencent à réaliser." Ces deux facteurs, combinés au nombre croissant de personnes utilisant des logiciels open source, font de la sécurité une priorité. "Nous sommes honorés de soutenir les efforts de Gustavo Silva et Nathan Chancellor dans leur travail pour renforcer la sécurité du noyau Linux", a-t-il ajouté.
Chancelier, l'un des deux développeurs assumant ce rôle, travaille sur le noyau Linux depuis quatre ans et demi. Il y a deux ans, il a commencé à contribuer à la version majeure de Linux dans le cadre du projet ClangBuiltLinux, une initiative visant à construire le noyau Linux avec les outils de construction Clang et LLVM.
Il se concentrera sur la classification et la correction des bogues trouvés avec les compilateurs Clang / LLVM tout en travaillant à la mise en place de systèmes d'intégration continue pour soutenir ce travail à l'avenir. Une fois ces objectifs en place, vous prévoyez de commencer à ajouter des fonctionnalités et à régler le noyau à l'aide de ces technologies de génération.
Chancelier s'attendre à ce que plus de personnes commencent à utiliser le projet infrastructure du compilateur LLVM et contribuer à ce dernier et les correctifs du noyau, car "cela contribuera grandement à améliorer la sécurité Linux pour tout le monde", a-t-il déclaré dans un communiqué.
Silva a commencé à travailler sur le noyau dans le cadre de la Central Infrastructure Initiative de la Linux Foundation, un programme dans lequel de jeunes développeurs sont encadrés par des ingénieurs travaillant sur le noyau.
Actuellement, son travail de sécurité à plein temps est axé sur l'élimination de diverses catégories de débordements de tampon. Il travaille également sur la correction des vulnérabilités avant qu'elles n'atteignent la ligne principale et sur le développement de mécanismes de défense qui éliminent des classes entières de vulnérabilités. Silva a publié son premier correctif de noyau en 2010 et fait partie des cinq développeurs de noyau les plus actifs depuis 2017.
«Nous travaillons pour construire un noyau de haute qualité qui est fiable, robuste et plus résistant aux attaques à tout moment», a déclaré Silva. "Grâce à ces efforts, nous espérons que les gens, en particulier les responsables de la maintenance, reconnaîtront l'importance d'adopter des changements qui rendront leur code moins sujet aux erreurs courantes."
source: https://www.linuxfoundation.org