Google và Quỹ Linux đã công bố kế hoạch tài trợ cho hai người bảo trì toàn thời gian, những người sẽ tập trung độc quyền trong sự phát triển của bảo mật nhân linux.
Gustavo Silva và Nathan Chancellor, cả hai đều là những người đóng góp tích cực cho Linux, sẽ làm việc để tăng cường bảo trì và nâng cao tính bảo mật của hạt nhân và các sáng kiến liên quan để đảm bảo khả năng tồn tại của dự án phần mềm miễn phí phổ biến nhất thế giới cho người dùng trong nhiều thập kỷ tới.
Mục tiêu là để làm những gì hệ điều hành phổ biến bền hơnnhư nghiên cứu chỉ ra rằng cần phải cải thiện tính bảo mật của phần mềm nguồn mở, đặc biệt là trên Linux.
Một bản báo cáo từ Quỹ Bảo mật Nguồn Mở Linux Foundation (OpenSSF) và Phòng thí nghiệm Khoa học Đổi mới của Đại học Harvard (LISH) nhận thấy thiếu các nỗ lực bảo mật trong phần mềm nguồn mở.
Phần mềm nguồn mở và miễn phí (FOSS) đã trở thành một phần thiết yếu của nền kinh tế hiện đại. Phần mềm miễn phí được ước tính chiếm 80 đến 90% tổng số phần mềm hiện đại và phần mềm là một nguồn tài nguyên ngày càng quan trọng trong hầu hết mọi ngành, theo Linux Foundation.
Para đồng hành cải thiện tình trạng an ninh và tính bền vững của hệ sinh thái phần mềm nguồn mở và miễn phí và cách tổ chức và công ty có thể hỗ trợ nó, OpenSSF và LISH đã hợp tác để thực hiện một cuộc khảo sát sâu rộng của những người đóng góp cho loại phần mềm này như một phần của nỗ lực lớn hơn nhằm áp dụng phương pháp tiếp cận phòng ngừa nhằm tăng cường an ninh mạng bằng cách cải thiện tính bảo mật của phần mềm miễn phí.
Các mục tiêu của cuộc khảo sát này là hiểu tình trạng bảo mật và tính bền vững của phần mềm nguồn mở và xác định các cơ hội để cải thiện nó và đảm bảo khả năng tồn tại của phần mềm nguồn mở trong tương lai. Kết quả xác định lý do lạc quan về tương lai của phần mềm nguồn mở.
Dan Lorenc, kỹ sư phần mềm của Google cho biết: “Bảo mật chuỗi cung ứng và bảo mật phần mềm nguồn mở là điều cần thiết. "Chúng tôi đang cố gắng nói về nó ngay bây giờ và cho mọi người thấy chúng tôi làm như thế nào, để họ có thể được khuyến khích và truyền cảm hứng cũng như tìm ra những cách khác để giúp chúng tôi."
Lorenc thấy hai yếu tố chính về chủ đề bảo mật phần mềm nguồn mở. Đầu tiên là thực tế là nó đến từ mọi người trên khắp thế giới, một số người trong số họ có thể là độc hại hoặc có ý định xấu, một vấn đề bảo mật vốn có trong phần mềm nguồn mở. Một thực tế khác là nó là phần mềm và tất cả các phần mềm đều có sai sót, có chủ đích hay không, cần được sửa chữa.
"Chỉ vì mã không phải của bạn không có nghĩa là không có bất kỳ lỗi nào", Lorenc nói thêm. "Đó là một quan niệm sai lầm mà rất nhiều công ty đang bắt đầu nhận ra." Hai yếu tố này, kết hợp với việc ngày càng có nhiều người sử dụng phần mềm nguồn mở, làm cho vấn đề bảo mật trở nên ưu tiên hàng đầu. Ông nói thêm: “Chúng tôi rất vinh dự được hỗ trợ những nỗ lực của Gustavo Silva và Nathan Chancellor trong công việc tăng cường bảo mật của nhân Linux.
Thủ tướng, một trong hai nhà phát triển đảm nhận vai trò này, đã làm việc trên nhân Linux trong bốn năm rưỡi. Hai năm trước, anh bắt đầu đóng góp cho phiên bản chính của Linux như một phần của dự án ClangBuiltLinux, một sáng kiến xây dựng nhân Linux bằng các công cụ xây dựng Clang và LLVM.
Nó sẽ tập trung vào việc phân loại và sửa bất kỳ lỗi nào được tìm thấy với trình biên dịch Clang / LLVM đồng thời làm việc để thiết lập các hệ thống tích hợp liên tục để hỗ trợ công việc này trong tương lai. Với những mục tiêu đó, bạn có kế hoạch bắt đầu thêm chức năng và điều chỉnh hạt nhân bằng cách sử dụng các công nghệ xây dựng này.
Quan chưởng ấn mong đợi nhiều người bắt đầu sử dụng dự án hơn cơ sở hạ tầng biên dịch LLVM và đóng góp cho sau này và sửa lỗi hạt nhân, bởi vì "nó sẽ đi một chặng đường dài hướng tới việc cải thiện bảo mật Linux cho mọi người," ông nói trong một tuyên bố.
Silva bắt đầu làm việc trên hạt nhân như một phần của Sáng kiến Cơ sở hạ tầng Trung tâm của Quỹ Linux, một chương trình trong đó các nhà phát triển trẻ được cố vấn bởi các kỹ sư làm việc trên hạt nhân.
Hiện tại, công việc bảo mật toàn thời gian của anh ấy là tập trung vào việc loại bỏ các loại lỗi tràn bộ đệm. Nó cũng hoạt động để sửa chữa các lỗ hổng trước khi chúng tấn công vào đường dây chính và phát triển các cơ chế bảo vệ để loại bỏ toàn bộ các lớp lỗ hổng. Silva đã phát hành bản vá hạt nhân đầu tiên của mình vào năm 2010 và nằm trong số năm nhà phát triển hạt nhân tích cực nhất kể từ năm 2017.
Silva nói: “Chúng tôi đang làm việc để xây dựng một lõi chất lượng cao, đáng tin cậy, mạnh mẽ và có khả năng chống lại các cuộc tấn công tốt hơn. "Thông qua những nỗ lực này, chúng tôi hy vọng rằng mọi người, đặc biệt là những người bảo trì, sẽ nhận ra tầm quan trọng của việc áp dụng các thay đổi sẽ làm cho mã của họ ít mắc các lỗi thông thường hơn."
Fuente: https://www.linuxfoundation.org