Google och Linux Foundation har meddelat planer på att finansiera två heltidsanställda underhållare som kommer att fokusera enbart på utvecklingen av linux kärnsäkerhet.
Gustavo Silva och Nathan kansler, båda aktiva Linux-bidragsgivare, kommer att arbeta för att stärka underhållet och förbättra kärnsäkerheten och relaterade initiativ för att garantera lönsamheten för gratisprogramvaruprojektet världens mest populära för användare i årtionden framöver.
Målet är att göra vad allestädes närvarande operativsystem mer hållbart, eftersom forskning indikerar att det finns ett behov av att förbättra säkerheten för programvara med öppen källkod, särskilt på Linux.
En rapport från Linux Foundation Open Source Security Foundation (OpenSSF) och Harvard University Laboratory for Innovation Science (LISH) upptäckt en brist på säkerhetsinsatser i programvara med öppen källkod.
Gratis och öppen källkodsprogramvara (FOSS) har blivit en viktig del av den moderna ekonomin. Fri programvara beräknas utgöra 80 till 90 procent av all modern programvara, och mjukvara är en allt viktigare resurs i nästan alla branscher, enligt Linux Foundation.
Para-komponent bättre förstå tillståndet för säkerheten och hållbarheten för ekosystemet för fri och öppen källkod och hur organisationer och företag kan stödja det, OpenSSF och LISH har samarbetat för att genomföra en omfattande undersökning av bidragsgivare till denna typ av programvara som en del av en större satsning på att ta ett förebyggande tillvägagångssätt för att stärka cybersäkerhet genom att förbättra säkerheten för fri programvara.
Målen av denna undersökning var förstå tillståndet för säkerhet och hållbarhet för programvara med öppen källkod och identifiera möjligheter att förbättra den och säkerställa lönsamheten för programvara med öppen källkod i framtiden. Resultaten identifierade skäl till optimism om framtiden för programvara med öppen källkod.
"Säkerhet i försörjningskedjan och mjukvarusäkerhet med öppen källkod är avgörande", säger Dan Lorenc, programvaruingenjör på Google. "Vi försöker prata om det nu och visa folk hur vi gör det, så att de kan bli uppmuntrade och inspirerade och hitta andra sätt att hjälpa oss också."
Lorenc ser två nyckelelement i ämnet öppen källkodssäkerhet. Den första är det faktum att det kommer från människor över hela världen, av vilka några kan vara illvilliga eller ha dåliga avsikter, ett säkerhetsproblem som är inneboende i programvara med öppen källkod. Den andra är det faktum att det är programvara och all programvara har brister, avsiktliga eller inte, som måste åtgärdas.
"Bara för att koden inte är din betyder det inte att det inte finns några buggar," tillade Lorenc. "Det är en slags missuppfattning som många företag börjar inse." Dessa två faktorer, i kombination med det ökande antalet personer som använder programvara med öppen källkod, gör säkerheten till en prioritet. "Vi är hedrade att stödja Gustavo Silvas och Nathan Chancellors ansträngningar i deras arbete för att stärka säkerheten för Linux-kärnan", tillade han.
Kansler, en av två utvecklare som tar på sig denna roll, han har arbetat med Linux-kärnan i fyra och ett halvt år. För två år sedan började han bidra till huvudversionen av Linux som en del av ClangBuiltLinux-projektet, ett initiativ för att bygga Linux-kärnan med Clang- och LLVM-byggverktygen.
Det kommer att fokusera på att reda ut och fixa eventuella buggar som hittas med Clang/LLVM-kompilatorerna. samtidigt som man arbetar med att etablera kontinuerliga integrationssystem för att stödja detta arbete i framtiden. Med dessa mål på plats planerar han att börja lägga till funktionalitet och justera kärnan med hjälp av dessa byggteknologier.
Kansler hoppas att fler ska börja använda projektet kompilatorinfrastruktur LLVM och bidra till det senare och till kärnfixar, eftersom det "kommer att gå långt mot att förbättra säkerheten för Linux för alla", sa han i ett uttalande.
Silva började arbeta med kärnan som en del av Linux Foundations Core Infrastructure Initiative, ett program där unga utvecklare mentors av ingenjörer som arbetar med kärnan.
För närvarande är hans säkerhetsjobb på heltid fokuserat på att eliminera olika kategorier av buffertspill. Det fungerar också med att korrigera sårbarheter innan de når huvudlinjen och utveckla försvarsmekanismer som eliminerar hela klasser av sårbarheter. Silva skickade in sin första kärnpatch 2010 och har varit bland de fem mest aktiva kärnutvecklarna sedan 2017.
"Vi arbetar för att bygga en högkvalitativ kärna som är pålitlig, robust och mer motståndskraftig mot attacker hela tiden," sa Silva. "Genom dessa ansträngningar hoppas vi att människor, i synnerhet underhållare, kommer att inse vikten av att anta ändringar som kommer att göra deras kod mindre benägen för vanliga fel."
Fuente: https://www.linuxfoundation.org