Google y la Fundación Linux han anunciado planes para financiar a dos mantenedores de tiempo completo que se centrarán exclusivamente en el desarrollo de seguridad del kernel de Linux.
Gustavo Silva y Nathan Chancellor, ambos contribuyentes activos de Linux, trabajarán para fortalecer el mantenimiento y mejorar la seguridad del kernel y las iniciativas relacionadas para garantizar la viabilidad del proyecto de software libre más popular del mundo para los usuarios en las próximas décadas.
El objetivo es hacer que el sistema operativo ubicuo sea más duradero, ya que las investigaciones indican que es necesario mejorar la seguridad del software de código abierto, especialmente en Linux.
Un informe de la Fundación de Seguridad de Código Abierto de la Fundación Linux (OpenSSF) y el Laboratorio de Ciencia de la Innovación de la Universidad de Harvard (LISH) encontró una falta de esfuerzos de seguridad en el software de código abierto.
El software libre y de código abierto (FOSS) se ha convertido en una parte esencial de la economía moderna. Se estima que el software libre constituye del 80 al 90 por ciento de todo el software moderno, y el software es un recurso cada vez más vital en casi todas las industrias, según la Fundación Linux.
Para comprender mejor el estado de la seguridad y la sostenibilidad del ecosistema de software de código abierto y gratuito y cómo las organizaciones y las empresas pueden respaldarlo, OpenSSF y LISH han colaborado para realizar una amplia encuesta de los contribuyentes a este tipo de software como parte de un esfuerzo mayor para adoptar un enfoque preventivo para fortalecer la ciberseguridad mejorando la seguridad del software libre.
Los objetivos de esta encuesta fueron comprender el estado de la seguridad y la sostenibilidad del software de código abierto e identificar oportunidades para mejorarlo y garantizar la viabilidad del software de código abierto en el futuro. Los resultados identificaron motivos de optimismo sobre el futuro del software de código abierto.
«La seguridad de la cadena de suministro y la seguridad del software de código abierto son esenciales», dijo Dan Lorenc, ingeniero de software de Google. «Estamos tratando de hablar de ello ahora y mostrarle a la gente cómo lo hacemos, para que puedan ser animados e inspirados y encontrar otras formas de ayudarnos también».
Lorenc ve dos elementos clave en el tema de la seguridad del software de código abierto. El primero es el hecho de que proviene de personas de todo el mundo, algunas de las cuales pueden ser maliciosas o tener malas intenciones, un problema de seguridad inherente al software de código abierto. El otro es el hecho de que es software y todo software tiene fallas, intencionales o no, que necesitan ser reparadas.
“El hecho de que el código no sea tuyo no significa que no haya errores”, agregó Lorenc. «Es una especie de concepto erróneo que muchas empresas están empezando a darse cuenta». Estos dos factores, combinados con el aumento del número de personas que utilizan software de código abierto, hacen de la seguridad una prioridad. “Nos sentimos honrados de apoyar los esfuerzos de Gustavo Silva y Nathan Chancellor en su trabajo para fortalecer la seguridad del kernel de Linux”, agregó.
Chancellor, uno de los dos desarrolladores que asumen este rol, ha estado trabajando en el kernel de Linux durante cuatro años y medio. Hace dos años, comenzó a contribuir a la versión principal de Linux como parte del proyecto ClangBuiltLinux, una iniciativa para construir el kernel de Linux con las herramientas de compilación Clang y LLVM.
Se enfocará en clasificar y corregir cualquier error encontrado con los compiladores de Clang/LLVM mientras trabaja para establecer sistemas de integración continua para respaldar este trabajo en el futuro. Con esos objetivos establecidos, planea comenzar a agregar funcionalidad y ajustar el kernel utilizando estas tecnologías de compilación.
Chancellor espera que más personas comiencen a utilizar el proyecto de infraestructura del compilador LLVM y contribuyan a este último ya las correcciones del kernel, porque «contribuirá en gran medida a mejorar la seguridad de Linux para todos», dijo en un comunicado.
Silva comenzó a trabajar en el kernel como parte de la Iniciativa de Infraestructura Central de la Fundación Linux, un programa en el que los desarrolladores jóvenes son asesorados por ingenieros que trabajan en el kernel.
En la actualidad, su trabajo de seguridad a tiempo completo se centra en eliminar varias categorías de desbordamientos de búfer. También trabaja en la reparación de vulnerabilidades antes de que lleguen a la línea principal y en el desarrollo de mecanismos de defensa que eliminan clases enteras de vulnerabilidades. Silva presentó su primer parche de kernel en 2010 y ha estado entre los cinco desarrolladores de kernel más activos desde 2017.
“Estamos trabajando para construir un núcleo de alta calidad que sea confiable, robusto y más resistente a los ataques en todo momento”, dijo Silva. «A través de estos esfuerzos, esperamos que la gente, los mantenedores en particular, reconozcan la importancia de adoptar cambios que harán que su código sea menos propenso a errores comunes».
Fuente: https://www.linuxfoundation.org