Google и Linux Foundation объявили о планах профинансировать двух штатных сопровождающих, которые сосредоточатся исключительно в разработке безопасность ядра Linux.
Густаво Сильва и Натан Ченслер, оба активные участники Linux, будут работать над улучшением обслуживания и повышением безопасности ядра и связанных инициатив. чтобы гарантировать жизнеспособность проекта бесплатного программного обеспечения самый популярный в мире для пользователей на десятилетия вперед.
Цель делать то, что повсеместная операционная система более долговечнапоскольку исследования показывают, что существует потребность в повышении безопасности программного обеспечения с открытым исходным кодом, особенно в Linux.
Отчет от Linux Foundation Open Source Security Foundation (OpenSSF) и Лаборатории инновационных наук Гарвардского университета (LISH) обнаружил отсутствие мер безопасности в программном обеспечении с открытым исходным кодом.
Бесплатное программное обеспечение с открытым исходным кодом (СОПО) стало неотъемлемой частью современной экономики. По оценкам Linux Foundation, бесплатное программное обеспечение составляет от 80 до 90 процентов всего современного программного обеспечения, а программное обеспечение становится все более важным ресурсом почти в каждой отрасли.
Чтобы понять улучшить состояние безопасности и устойчивости экосистемы бесплатного программного обеспечения и программного обеспечения с открытым исходным кодом, а также как организации и компании может его поддерживать, OpenSSF и LISH сотрудничали для проведения обширного исследования авторов этого типа программного обеспечения в рамках более масштабных усилий по внедрению превентивного подхода к усилению кибербезопасности путем повышения безопасности бесплатного программного обеспечения.
Цели этого опроса были понимать состояние безопасности и устойчивости программного обеспечения с открытым исходным кодом и определить возможности для его улучшения и обеспечения жизнеспособности программного обеспечения с открытым исходным кодом в будущем. Результаты выявили причины для оптимизма в отношении будущего программного обеспечения с открытым исходным кодом.
«Безопасность цепочки поставок и безопасность программного обеспечения с открытым исходным кодом имеют важное значение, - сказал Дэн Лоренк, инженер-программист Google. «Мы пытаемся поговорить об этом сейчас и показать людям, как мы это делаем, чтобы их можно было воодушевить и вдохновить, а также найти другие способы помочь нам».
Лоренк видит два ключевых элемента на тему безопасности программного обеспечения с открытым исходным кодом. Во-первых, они исходят от людей со всего мира, некоторые из которых могут быть злонамеренными или иметь дурные намерения, что является проблемой безопасности, присущей программному обеспечению с открытым исходным кодом. Во-вторых, это программное обеспечение, и все программное обеспечение имеет преднамеренные или непреднамеренные недостатки, которые необходимо исправить.
«Тот факт, что код не принадлежит вам, не означает, что в нем нет ошибок», - добавил Лоренк. «Это заблуждение, которое начинают осознавать многие компании». Эти два фактора в сочетании с растущим числом людей, использующих программное обеспечение с открытым исходным кодом, делают безопасность приоритетной задачей. «Для нас большая честь поддерживать усилия Густаво Силвы и Натана Ченслера в их работе по усилению безопасности ядра Linux», - добавил он.
Канцлер, один из двух разработчиков, взявших на себя эту роль, работал над ядром Linux четыре с половиной года. Два года назад он начал вносить свой вклад в основную версию Linux в рамках проекта ClangBuiltLinux, инициативы по созданию ядра Linux с помощью инструментов сборки Clang и LLVM.
Он будет сосредоточен на классификации и исправлении любых ошибок, обнаруженных с помощью компиляторов Clang / LLVM. работая над созданием систем непрерывной интеграции для поддержки этой работы в будущем. Имея эти цели, вы планируете начать добавлять функциональные возможности и настраивать ядро с помощью этих технологий сборки.
Канцлер ожидайте, что больше людей начнут использовать проект инфраструктура компилятора LLVM и способствовать последнему и исправления ядра, потому что «это будет иметь большое значение для улучшения безопасности Linux для всех», - сказал он в своем заявлении.
Сильва начал работу над ядром в рамках Инициативы по центральной инфраструктуре Linux Foundation, программы, в которой молодых разработчиков наставляют инженеры, работающие над ядром.
В настоящее время его постоянная работа по обеспечению безопасности сосредоточена на устранении различных категорий переполнения буфера. Он также работает над исправлением уязвимостей до того, как они попадут в основной поток, и разработкой защитных механизмов, устраняющих целые классы уязвимостей. Сильва выпустил свой первый патч ядра в 2010 году и с 2017 года входит в пятерку активных разработчиков ядра.
«Мы работаем над созданием высококачественного ядра, которое будет надежным, прочным и более устойчивым к атакам в любое время», - сказал Силва. «Благодаря этим усилиям, мы надеемся, что люди, в особенности сопровождающие, осознают важность принятия изменений, которые сделают их код менее подверженным распространенным ошибкам».
источник: https://www.linuxfoundation.org