גוגל וקרן לינוקס הודיעו על תוכניות ל לממן שני מתחזקים במשרה מלאה שיתמקדו אך ורק בפיתוח אבטחת הליבה של לינוקס.
גוסטבו סילבה ונתן קנצלר, שניהם תורמים פעילים לינוקס, יפעלו לחיזוק התחזוקה ושיפור האבטחה של הגרעין והיוזמות הנלוות כדי להבטיח את כדאיות פרויקט התוכנה החינמית הפופולרי ביותר בעולם בקרב משתמשים מזה עשרות שנים.
המטרה זה לעשות מה מערכת ההפעלה בכל מקום היא עמידה יותרכיוון שמחקרים מצביעים על כך שיש צורך לשפר את האבטחה של תוכנת קוד פתוח, במיוחד ב- Linux.
דו"ח מהקרן לאבטחת קוד פתוח של קרן לינוקס (OpenSSF) ומעבדת המדע לחדשנות באוניברסיטת הרווארד (LISH) מצא חוסר מאמצי אבטחה בתוכנות קוד פתוח.
תוכנת קוד פתוח וחינמי (FOSS) הפכה לחלק חיוני בכלכלה המודרנית. לפי הערכות תוכנה חופשית מהווים 80 עד 90 אחוז מכלל התוכנות המודרניות, ותוכנה מהווה משאב חיוני יותר ויותר כמעט בכל ענף, על פי קרן לינוקס.
Para compander לשפר את מצב האבטחה והקיימות של המערכת האקולוגית בחינם ופתוח קוד פתוח וכיצד ארגונים וחברות יכול לתמוך בו, OpenSSF ו- LISH שיתפו פעולה לביצוע סקר נרחב התורמים לסוג תוכנה זה כחלק ממאמץ גדול יותר לאמץ גישה מונעת לחיזוק אבטחת הסייבר על ידי שיפור האבטחה של תוכנה חופשית.
היעדים מסקר זה היו להבין את מצב האבטחה והקיימות של תוכנת קוד פתוח ולזהות הזדמנויות לשפר אותה ולהבטיח את כדאיותה של תוכנת קוד פתוח בעתיד. התוצאות זיהו סיבות לאופטימיות לגבי עתידה של תוכנת קוד פתוח.
"האבטחה של שרשרת האספקה והאבטחה של תוכנות קוד פתוח הן חיוניות", אמר דן לורנץ, מהנדס התוכנה של גוגל. "אנחנו מנסים לדבר על זה עכשיו ולהראות לאנשים איך אנחנו עושים את זה, כדי שהם יוכלו להיות מעודדים ולהשראה ולמצוא דרכים אחרות לעזור גם לנו."
לורנץ רואה שני אלמנטים מרכזיים בנושא אבטחת תוכנת קוד פתוח. הראשונה היא העובדה שהיא מגיעה מאנשים בכל רחבי העולם, חלקם עלולים להיות זדוניים או בעלי כוונות רעות, בעיית אבטחה הטמונה בתוכנת קוד פתוח. השנייה היא העובדה שמדובר בתוכנה ולכל התוכנה יש פגמים, מכוונים או לא, שצריך לתקן.
"זה שהקוד לא שלך לא אומר שאין שום באגים," הוסיף לורנץ. "זו סוג של תפיסה מוטעית שהרבה חברות מתחילות להבין." שני גורמים אלה, בשילוב עם מספר הולך וגדל של אנשים המשתמשים בתוכנת קוד פתוח, הופכים את האבטחה בראש סדר העדיפויות. "אנו מתכבדים לתמוך במאמציהם של גוסטבו סילבה ונתן קנצלר בעבודתם לחיזוק האבטחה של ליבת לינוקס", הוסיף.
נָגִיד, אחד משני המפתחים שלקח על עצמו את התפקיד הזה, עובד על ליבת הלינוקס כבר ארבע שנים וחצי. לפני שנתיים הוא החל לתרום לגרסה המרכזית של לינוקס כחלק מפרויקט ClangBuiltLinux, יוזמה לבניית ליבת לינוקס בעזרת כלי הבנייה Clang ו- LLVM.
זה יתמקד בסיווג ותיקון כל הבאגים שנמצאו עם מהדרים Clang / LLVM תוך כדי עבודה להקמת מערכות אינטגרציה רציפות לתמיכה בעבודה זו בעתיד. עם יעדים אלה במקום, אתה מתכנן להתחיל להוסיף פונקציונליות ולכוון את הגרעין באמצעות טכנולוגיות בנייה אלה.
נָגִיד מצפה שאנשים רבים יותר יתחילו להשתמש בפרויקט תשתית מהדר LLVM ותורמים לאחרונים ותיקוני הליבה, כי "זה יעבור דרך ארוכה לשיפור אבטחת לינוקס לכולם", אמר בהצהרה.
סילבה החלה לעבוד על הגרעין במסגרת יוזמת התשתיות המרכזית של קרן לינוקס, תוכנית בה מדריכים מפתחים צעירים על ידי מהנדסים העובדים על הגרעין.
נכון לעכשיו, עבודתו האבטחה במשרה מלאה מתמקדת בביטול קטגוריות שונות של הצפת מאגר. זה עובד גם על תיקון נקודות תורפה לפני שהם פוגעים בקו הראשי ופיתוח מנגנוני הגנה שמבטלים סוגים שלמים של פרצות. סילבה פרסם את תיקון הגרעינים הראשון שלו בשנת 2010 ונמצא בחמשת מפתחי הגרעינים הפעילים המובילים מאז 2017.
"אנו פועלים לבניית ליבה איכותית אשר אמינה, חזקה ועמידה יותר בפני התקפות בכל עת", אמר סילבה. "באמצעות מאמצים אלו אנו מקווים שאנשים, מתחזקים בפרט, יכירו בחשיבות של אימוץ שינויים שיהפכו את הקוד שלהם פחות נוטה לשגיאות נפוצות."
מקור: https://www.linuxfoundation.org