Google e a Linux Foundation anunciaram planos para financiar dois mantenedores em tempo integral que se concentrarão exclusivamente no desenvolvimento de segurança do kernel linux.
Gustavo Silva e Nathan ChancelerAmbos os contribuidores ativos do Linux trabalharão para fortalecer a manutenção e aprimorar a segurança do kernel e iniciativas relacionadas. garantir a viabilidade do projeto de software livre mais popular do mundo para os usuários nas próximas décadas.
O objetivo é fazer o que o sistema operacional onipresente é mais durávelcomo a pesquisa indica que o software de código aberto precisa ser melhorado, especialmente no Linux.
Um relatório da Linux Foundation Open Source Security Foundation (OpenSSF) e do Harvard University Innovation Science Laboratory (LISH) encontrou uma falta de esforços de segurança em software de código aberto.
O Software Livre e de Código Aberto (FOSS) tornou-se uma parte essencial da economia moderna. Estima-se que o software livre represente de 80 a 90 por cento de todo o software moderno, e o software é um recurso cada vez mais vital em quase todos os setores, de acordo com a Linux Foundation.
Para compreender melhorar o estado de segurança e sustentabilidade do ecossistema de software livre e de código aberto e como organizações e empresas pode suportá-lo, OpenSSF e LISH colaboraram para realizar uma extensa pesquisa de contribuidores para este tipo de software como parte de um esforço maior para adotar uma abordagem preventiva para fortalecer a segurança cibernética, aumentando a segurança do software livre.
Os objetivos desta pesquisa foram compreender o estado de segurança e sustentabilidade do software de código aberto e identificar oportunidades para melhorá-lo e garantir a viabilidade do software de código aberto no futuro. Os resultados identificaram razões para otimismo sobre o futuro do software de código aberto.
"A segurança da cadeia de suprimentos e a segurança do software de código aberto são essenciais", disse Dan Lorenc, engenheiro de software do Google. "Estamos tentando falar sobre isso agora e mostrar às pessoas como fazemos isso, para que possam ser encorajadas e inspiradas e encontrar outras maneiras de nos ajudar também."
Lorenc vê dois elementos-chave sobre o assunto de segurança de software de código aberto. O primeiro é o fato de vir de pessoas de todo o mundo, algumas das quais podem ser mal-intencionadas ou ter más intenções, um problema de segurança inerente ao software livre. A outra é o fato de ser um software e todo software possuir falhas, intencionais ou não, que precisam ser corrigidas.
“Só porque o código não é seu, não significa que não haja bugs”, acrescentou Lorenc. "É uma espécie de equívoco que muitas empresas estão começando a perceber." Esses dois fatores, combinados com o crescente número de pessoas que usam software de código aberto, tornam a segurança uma prioridade. "Estamos honrados em apoiar os esforços de Gustavo Silva e Nathan Chancellor em seu trabalho para fortalecer a segurança do kernel Linux", acrescentou.
Chanceler, um dos dois desenvolvedores que está assumindo essa função está trabalhando no kernel do Linux há quatro anos e meio. Dois anos atrás, ele começou a contribuir para a versão principal do Linux como parte do projeto ClangBuiltLinux, uma iniciativa para construir o kernel Linux com as ferramentas de construção Clang e LLVM.
Ele se concentrará na classificação e correção de quaisquer bugs encontrados nos compiladores Clang / LLVM enquanto trabalhamos para estabelecer sistemas de integração contínua para apoiar este trabalho no futuro. Com essas metas estabelecidas, você planeja começar a adicionar funcionalidade e ajustar o kernel usando essas tecnologias de construção.
Chanceler espere que mais pessoas comecem a usar o projeto infraestrutura do compilador LLVM e contribuir para o último e correções de kernel, porque "isso ajudará muito a melhorar a segurança do Linux para todos", disse ele em um comunicado.
Silva começou a trabalhar no kernel como parte da Iniciativa de Infraestrutura Central da Linux Foundation, um programa no qual jovens desenvolvedores são orientados por engenheiros que trabalham no kernel.
Atualmente, seu trabalho de segurança em tempo integral concentra-se na eliminação de várias categorias de estouros de buffer. Ele também trabalha na correção de vulnerabilidades antes que atinjam a linha principal e no desenvolvimento de mecanismos de defesa que eliminam classes inteiras de vulnerabilidades. Silva lançou seu primeiro patch de kernel em 2010 e está entre os cinco principais desenvolvedores de kernel ativos desde 2017.
“Estamos trabalhando para construir um núcleo de alta qualidade que seja confiável, robusto e mais resistente a ataques em todos os momentos”, disse Silva. "Por meio desses esforços, esperamos que as pessoas, principalmente os mantenedores, reconheçam a importância de adotar mudanças que tornem seu código menos sujeito a erros comuns."
fonte: https://www.linuxfoundation.org