Google i Linux Foundation ogłosili plany sfinansować dwóch pełnoetatowych opiekunów, którzy się skupią wyłącznie w rozwoju bezpieczeństwo jądra systemu Linux.
Gustavo Silva i Nathan Chancellor, obaj aktywni współtwórcy Linuksa, będą pracować nad poprawą utrzymania i zwiększeniem bezpieczeństwa jądra i powiązanych inicjatyw aby zagwarantować wykonalność projektu wolnego oprogramowania najpopularniejszy na świecie wśród użytkowników od dziesięcioleci.
Cel to zrobić co wszechobecny system operacyjny jest trwalszyponieważ badania wskazują, że istnieje potrzeba poprawy bezpieczeństwa oprogramowania open source, zwłaszcza w systemie Linux.
Raport Linux Foundation Open Source Security Foundation (OpenSSF) i Harvard University Innovation Science Laboratory (LISH) stwierdzili brak wysiłków w zakresie bezpieczeństwa w oprogramowaniu typu open source.
Wolne i otwarte oprogramowanie (FOSS) stało się istotną częścią nowoczesnej gospodarki. Szacuje się, że wolne oprogramowanie stanowi od 80 do 90 procent całego nowoczesnego oprogramowania, a według Linux Foundation oprogramowanie jest coraz ważniejszym zasobem w prawie każdej branży.
Rozumieć poprawić stan bezpieczeństwa i trwałości ekosystemu bezpłatnego i otwartego oprogramowania oraz sposób, w jaki organizacje i firmy może to obsługiwać, OpenSSF i LISH współpracowali przy przeprowadzaniu obszernej ankiety współautorów tego typu oprogramowania w ramach większego wysiłku mającego na celu zapobiegawcze podejście do wzmacniania cyberbezpieczeństwa poprzez poprawę bezpieczeństwa wolnego oprogramowania.
Cele tej ankiety były zrozumieć stan bezpieczeństwa i trwałość oprogramowania open source i zidentyfikować możliwości ulepszenia go i zapewnienia rentowności oprogramowania open source w przyszłości. Wyniki pozwoliły zidentyfikować powody do optymizmu co do przyszłości oprogramowania typu open source.
„Bezpieczeństwo łańcucha dostaw i oprogramowanie open source są niezbędne” - powiedział Dan Lorenc, inżynier oprogramowania Google. „Staramy się teraz o tym porozmawiać i pokazać ludziom, jak to robimy, aby mogli być zachęcani i inspirowani, a także znaleźć inne sposoby, aby nam pomóc”.
Lorenc widzi dwa kluczowe elementy na temat bezpieczeństwa oprogramowania open source. Po pierwsze, pochodzi od ludzi z całego świata, z których niektórzy mogą być złośliwi lub mieć złe intencje, co jest problemem bezpieczeństwa nieodłącznie związanym z oprogramowaniem typu open source. Drugi to fakt, że jest to oprogramowanie i całe oprogramowanie ma wady, zamierzone lub nie, które należy naprawić.
„To, że kod nie jest twój, nie oznacza, że nie ma żadnych błędów” - dodał Lorenc. „To trochę błędne przekonanie, z którego wiele firm zaczyna zdawać sobie sprawę”. Te dwa czynniki, w połączeniu z rosnącą liczbą osób korzystających z oprogramowania open source, sprawiają, że bezpieczeństwo jest priorytetem. „Jesteśmy zaszczyceni mogąc wspierać wysiłki Gustavo Silvy i Nathana Chancellora w ich pracy nad wzmocnieniem bezpieczeństwa jądra Linuksa” - dodał.
Kanclerz, jeden z dwóch programistów przyjmujących tę rolę pracuje nad jądrem Linuksa od czterech i pół roku. Dwa lata temu zaczął współtworzyć główną wersję Linuksa w ramach projektu ClangBuiltLinux, inicjatywy mającej na celu zbudowanie jądra Linuksa za pomocą narzędzi do budowania Clang i LLVM.
Skoncentruje się na klasyfikowaniu i poprawianiu wszelkich błędów znalezionych w kompilatorach Clang / LLVM pracując nad ustanowieniem systemów ciągłej integracji w celu wsparcia tej pracy w przyszłości. Mając te cele na miejscu, planujesz rozpocząć dodawanie funkcji i dostrajanie jądra przy użyciu tych technologii kompilacji.
Kanclerz oczekuj, że więcej osób zacznie korzystać z projektu infrastruktura kompilatora LLVM i przyczynić się do tego ostatniego i poprawki jądra, ponieważ „znacznie poprawi bezpieczeństwo Linuksa dla wszystkich” - powiedział w oświadczeniu.
Silva rozpoczęła pracę nad jądrem w ramach inicjatywy Centralnej Infrastruktury Fundacji Linux, programu, w którym młodzi programiści są pod opieką inżynierów pracujących nad jądrem.
Obecnie jego pełnoetatowa praca w ochronie koncentruje się na eliminowaniu różnych kategorii przepełnień buforów. Pracuje również nad naprawą luk, zanim trafią one na główną linię, i opracowaniem mechanizmów obronnych, które eliminują całe klasy luk. Silva wypuścił swoją pierwszą łatkę na jądro w 2010 roku i od 2017 roku znajduje się w pierwszej piątce aktywnych deweloperów jądra.
„Pracujemy nad zbudowaniem wysokiej jakości rdzenia, który jest niezawodny, wytrzymały i przez cały czas bardziej odporny na ataki” - powiedział Silva. „Mamy nadzieję, że dzięki tym wysiłkom ludzie, w szczególności opiekunowie, docenią znaczenie wprowadzenia zmian, które sprawią, że ich kod będzie mniej podatny na typowe błędy”.
źródło: https://www.linuxfoundation.org