Google en de Linux Foundation plannen hebben aangekondigd financier twee fulltime beheerders die zich zullen concentreren uitsluitend op de ontwikkeling van linux kernelbeveiliging.
Gustavo Silva en Nathan kanselier, beide actieve Linux-bijdragers, zullen werken aan het versterken van het onderhoud en het verbeteren van de kernelbeveiliging en aanverwante initiatieven om de levensvatbaarheid van het vrije softwareproject te garanderen 's werelds meest populaire voor gebruikers in de komende decennia.
Het doel is om te doen wat alomtegenwoordig besturingssysteem duurzamer, omdat uit onderzoek blijkt dat er behoefte is aan verbetering van de beveiliging van open source software, vooral op Linux.
Een rapport van de Linux Foundation Open Source Security Foundation (OpenSSF) en het Harvard University Laboratory for Innovation Science (LISH) vond een gebrek aan beveiligingsinspanningen in open source software.
Vrije en Open Source Software (FOSS) is een essentieel onderdeel van de moderne economie geworden. Vrije software maakt naar schatting 80 tot 90 procent uit van alle moderne software, en volgens de Linux Foundation wordt software een steeds belangrijker hulpmiddel in bijna elke branche.
Begrijpen beter inzicht krijgen in de staat van de beveiliging en duurzaamheid van het gratis en open source software-ecosysteem en hoe organisaties en bedrijven kan het ondersteunen, OpenSSF en LISH hebben meegewerkt aan een uitgebreid onderzoek van bijdragers aan dit soort software als onderdeel van een grotere inspanning om een preventieve aanpak te volgen om de cyberbeveiliging te versterken door de beveiliging van vrije software te verbeteren.
De doelstellingen van dit onderzoek waren de staat van veiligheid en duurzaamheid van open source software begrijpen en kansen identificeren om het te verbeteren en de levensvatbaarheid van open source software in de toekomst te waarborgen. De resultaten identificeerden redenen voor optimisme over de toekomst van open source software.
"Beveiliging van de toeleveringsketen en beveiliging van open source-software zijn essentieel", zegt Dan Lorenc, een software-engineer bij Google. "We proberen er nu over te praten en mensen te laten zien hoe we het doen, zodat ze kunnen worden aangemoedigd en geïnspireerd en ook andere manieren kunnen vinden om ons te helpen."
Lorenc ziet twee belangrijke elementen op het gebied van open source softwarebeveiliging. De eerste is het feit dat het afkomstig is van mensen over de hele wereld, van wie sommigen mogelijk kwaadaardig zijn of slechte bedoelingen hebben, een beveiligingsprobleem dat inherent is aan open source-software. De andere is het feit dat het software is en dat alle software gebreken heeft, opzettelijk of niet, die moeten worden verholpen.
"Alleen omdat de code niet van jou is, wil nog niet zeggen dat er geen bugs zijn", voegde Lorenc eraan toe. "Het is een soort misvatting die veel bedrijven zich beginnen te realiseren." Deze twee factoren, gecombineerd met het toenemende aantal mensen dat open source software gebruikt, maken beveiliging tot een prioriteit. "We zijn vereerd om de inspanningen van Gustavo Silva en Nathan Chancellor te ondersteunen bij hun werk om de beveiliging van de Linux-kernel te versterken", voegde hij eraan toe.
Kanselier, een van de twee ontwikkelaars die deze rol op zich nemen, hij werkt al vierenhalf jaar aan de Linux-kernel. Twee jaar geleden begon hij bij te dragen aan de belangrijkste Linux-release als onderdeel van het ClangBuiltLinux-project, een initiatief om de Linux-kernel te bouwen met de Clang- en LLVM-buildtools.
Het zal zich richten op het uitzoeken en oplossen van eventuele bugs die zijn gevonden met de Clang/LLVM-compilers. terwijl we werken aan het opzetten van continue integratiesystemen om dit werk in de toekomst te ondersteunen. Met die doelen op zijn plaats, is hij van plan om functionaliteit toe te voegen en de kernel af te stemmen met behulp van deze build-technologieën.
kanselier hoopt dat meer mensen het project gaan gebruiken compiler infrastructuur LLVM en bijdragen aan de laatste en voor kernelfixes, omdat het "een grote bijdrage zal leveren aan het verbeteren van de beveiliging van Linux voor iedereen", zei hij in een verklaring.
Silva begon aan de kernel te werken als onderdeel van het Core Infrastructure Initiative van de Linux Foundation, een programma waarin jonge ontwikkelaars worden begeleid door ingenieurs die aan de kernel werken.
Momenteel is zijn fulltime beveiligingstaak gericht op het elimineren van verschillende categorieën bufferoverflows. Het werkt ook aan het patchen van kwetsbaarheden voordat ze de hoofdlijn bereiken en het ontwikkelen van verdedigingsmechanismen die hele klassen van kwetsbaarheden elimineren. Silva diende zijn eerste kernelpatch in 2010 in en staat sinds 2017 in de top vijf van meest actieve kernelontwikkelaars.
"We werken aan het bouwen van een kernel van hoge kwaliteit die betrouwbaar en robuust is en te allen tijde beter bestand is tegen aanvallen", aldus Silva. "Door deze inspanningen hopen we dat mensen, met name beheerders, het belang zullen inzien van het doorvoeren van wijzigingen die hun code minder vatbaar maken voor veelvoorkomende fouten."
bron: https://www.linuxfoundation.org