Linux og åpen kildekode-programvare er mye lettere å sikre enn proprietær programvare. Som medstifter av åpen kildekode Eric S. Raymond påpekte med Linus 'lov: “Gitt nok øyeboller er alle insekter grunne.” Men det krever at øyeboller ser etter insekter i utgangspunktet for at det skal fungere. Jim Zemlin, administrerende direktør i Linux Foundation (LF), sa i etterkant av Heartbleed og Shellshock sikkerhetsfiaskoer: “I disse tilfellene så ikke øyebollene egentlig ut.”
For å hjelpe til med å avhjelpe dette, avslørte David A. Wheeler, LFs direktør for Open Source Supply Chain Security, nylig LF eller dets relaterte stiftelser og prosjekter direkte til å finansiere folk til å utføre sikkerhetsarbeid. Slik fungerer det.
Finansieringen kommer fra en rekke pro-Linux- og åpen kildekode-organisasjoner. Disse inkluderer Google, Microsoft, Open Source Security Foundation (OpenSSF), LF Public Health Foundation og LF selv. Når et problem blir funnet, kontakter en utvikler den aktuelle LF -organisasjonen. Generelt sett settes det opp en kontrakt som kort beskriver hvilket problem som må løses og hvordan det skal gjøres, midlene som kreves for det og hvem som skal utføre arbeidet.
Forslaget blir deretter undersøkt av det relevante LF -tekniske kontaktpunktet (POC). Denne POC er ofte Wheeler selv.
Når prosjektet er godkjent, utarbeides fremdriftsrapporter omtrent en gang i måneden. Disse må inneholde:
En stabil URL til et offentlig tilgjengelig innlegg (f.eks. En blogg eller et arkivert postlisteinnlegg) som beskriver hva du gjorde den måneden. Innlegget må kort beskrive hva som er oppnådd ved å bruke finansieringen siden siste faktura. Inkluder datoen og hyperkoblinger til detaljer. Hvis git commits var involvert, inkluder hyperkoblinger til dem. Gjør det enkelt for tekniske mennesker å lære detaljer (f.eks. Via hyperkoblinger). Beskriv også kort hvorfor dette verket er viktig eller lenke til slike beskrivelser for noen som ikke er godt kjent med det. Noen lesere kan se innlegget ditt ute av kontekst. Gi kreditt, lik National Public Radio. (f.eks. “Dette arbeidet til & lt; X & gt; ble [delvis] finansiert av OpenSSF, Google og The Linux Foundation.”) Å takke andre er alltid høflig. Vi vil også at folk skal vurdere å finansiere OSS -sikkerhet som normalt. Oppgi en identifikator (et personlig navn, pseudonym eller prosjektnavn) for hvem som gjør jobben. Dette forenkler referansen til verket. Du trenger ikke å avsløre dine personlige navn offentlig, selv om du er velkommen til det.
Dette er en lett prosess. Det bør ikke ta mer enn 20 minutter å skrive disse rapportene. Du kan synes det er lettere å skrive innlegget ditt mens du gjør jobben. Finansiert arbeid må være tilgjengelig under de relevante lisensene med åpen kildekode. For eksempel må feilrettinger til Linux være lisensiert under Gnu General Public Licenses Version 2 (GPLv2).
POC vil deretter gjennomgå innlegget, og hvis det virker rimelig, godkjenner du betalingen. Wheeler forklarte: “Vi forstår at det noen ganger oppstår problemer. Vi vil bare se troverdig innsats. Hvis det er en alvorlig veisperring, kan du prøve å foreslå måter å overvinne det eller gi delvis/inkrementelle fordeler. Vi må gi tillit til finansiører som vi ikke er t kaste bort pengene sine. “
Så, hva slags prosjekter går vi om? Wheeler nevner flere eksempler. Disse inkluderer:
Ariadne Conill, lederen for Alpine Linux -sikkerhetsteamet, forbedrer denne viktige beholderen Linux -distros sikkerhet. Spesielt har Conill forbedret sårbarhetsbehandlingen og gjort den reproduserbar. Dette resulterte for eksempel i at Alpine 3.14 ble utgitt med det laveste åpne sårbarhetsantallet i den siste utgivelsen på lenge.
På Git, det viktige distribuerte versjonskontrollsystemet, har David Huseby jobbet med å endre git for å ha en mye mer fleksibel kryptografisk signeringsinfrastruktur. Dette vil gjøre det lettere å bekrefte integriteten til programvarekildekoden.
Det er ikke bare Linux-relaterte programmer som får sikkerhetshjelp. Theo de Raadt, grunnlegger og leder for OpenBSD og OpenSSH, har mottatt midler for å sikre OpenSSHs VVS. OpenSSH er en viktig pakke med sikre Secure Shell (ssh) nettverksverktøy basert på protokollen. De Raadt har også blitt finansiert for å bidra til å sikre Resource Public Key Infrastructure (RPKI), som beskytter Internett -rutingsprotokoller mot angrep.
I tillegg til å fikse kjente problemer, leter LF og selskapet også etter sikkerhetsproblemer vi ikke vet om ennå. Det gjøres med sikkerhetsrevisjoner via Open Source Technology Improvement Fund (OSTIF). Disse prosjektene inkluderer to Linux -kjernesikkerhetsrevisjoner. Den ene for signering og sentrale styringspolicyer og den andre for sårbarhetsrapportering og utbedring. Fageksperter utfører revisjonsrapportene, mens Wheeler sikrer at disse rapportene er klare for ikke-eksperter, mens de fortsatt er nøyaktige.
Når du ser fremover, jobber OpenSSF også med å forbedre den generelle programvaresikkerheten for åpen kildekode. Disse inkluderer gratis kurs om hvordan du utvikler sikker programvare og CII Best Practices -merkeprosjektet. Andre prosjekter forbedrer OSS-sikkerheten, inkludert sigstore, som gjør kryptografiske signaturer mye enklere og forbedrer programvaremateriale (SBOM).
Hvis du vil hjelpe til med å betale for denne typen arbeid, vil LF høre fra deg. Du kan bidra til OpenSSF ved å kontakte organisasjonen. Eller, hvis du vil, kan du opprette et stipend direkte med Linux Foundation selv. Send en e -post til Wheeler på dwheeler@linuxfoundation.org hvis du har spørsmål. For mindre beløp – for eksempel å finansiere et bestemt prosjekt – kan du også bruke LFX -verktøyene for crowdfunding til å finansiere eller be om finansiering.
Har du problemer med forretningssiden med å finansiere sikkerhetskoding og revisjoner? Du er ikke alene. Som Wheeler sa: “Mange mennesker og organisasjoner sliter med å betale individuelle programvareutviklere med åpen kildekode på grunn av behovet for å håndtere skatter og tilsyn. Hvis det er din bekymring, snakk med oss. LF har erfaring og prosesser for å gjøre alt det, og lar eksperter fokus på å få jobben gjort. “
Relaterte historier:
Det er på tide å forbedre Linuxs sikkerhetPatch nå: Linux -filsystemets sikkerhetshull, kalt Sequoia, kan overta systemerNasty Linux systemd sikkerhetsfeil avslørt.
Relaterte emner:
Enterprise Software Security TV Datahåndtering CXO datasentre 