Linux og open source-software er meget lettere at sikre end proprietær software. Som medstifter af open source Eric S. Raymond påpegede med Linus lov: “I betragtning af nok øjenkugler er alle bugs overfladiske.” Men det kræver i første omgang, at øjne kigger efter fejl for at få det til at fungere. Jim Zemlin, administrerende direktør for Linux Foundation (LF), sagde i kølvandet på Heartbleed og Shellshock sikkerhedsfiaskoer: “I disse tilfælde så øjnene ikke rigtigt ud.”
For at hjælpe med at afhjælpe dette afslørede David A. Wheeler, LF's direktør for Open Source Supply Chain Security, for nylig LF eller dets relaterede fonde og projekter direkte til at finansiere folk til at udføre sikkerhedsarbejde. Sådan fungerer det.
Finansieringen kommer fra en række forskellige pro-Linux og open-source organisationer. Disse inkluderer Google, Microsoft, Open Source Security Foundation (OpenSSF), LF Public Health Foundation og LF selv. Når der findes et problem, når en udvikler ud til den relevante LF -organisation. Generelt oprettes en kontrakt, der kort beskriver, hvilket problem der skal løses, og hvordan det vil blive gjort, de nødvendige midler til det, og hvem der skal udføre arbejdet.
Forslaget undersøges derefter af det relevante LF -tekniske kontaktpunkt (POC). Denne POC er ofte Wheeler selv.
Når dit projekt er godkendt, laves der statusrapporter cirka en gang om måneden. Disse skal indeholde:
En stabil URL til et offentligt tilgængeligt indlæg (f.eks. En blog eller et arkiveret postlisteindlæg), der beskriver, hvad du gjorde den måned. Indlægget skal kort beskrive, hvad der er opnået ved hjælp af finansieringen siden den sidste faktura. Inkluder dens dato og hyperlinks til detaljer. Hvis git commits var involveret, skal du inkludere hyperlinks til dem. Gør det let for tekniske mennesker at lære detaljer (f.eks. Via hyperlinks). Beskriv også kort, hvorfor dette værk er vigtigt eller link til sådanne beskrivelser, for nogen, der ikke er fortrolig med det. Nogle læsere kan se dit indlæg ude af kontekst.Giv kredit, svarende til National Public Radio. (f.eks. “Dette arbejde til & lt; X & gt; blev [delvist] finansieret af OpenSSF, Google og The Linux Foundation.”) At takke andre er altid høfligt. Vi vil også have, at folk overvejer at finansiere OSS -sikkerhed som normalt. Offentligt angive en identifikator (et personnavn, pseudonym eller projektnavn) for, hvem der udfører arbejdet. Dette forenkler henvisningen til værket. Du behøver ikke at afsløre dine personlige navne offentligt, selvom du er velkommen til at gøre det.
Dette er en let proces. Det bør ikke tage mere end 20 minutter at skrive disse rapporter. Det kan være lettere at skrive dit indlæg, mens du gør arbejdet. Finansieret arbejde skal være tilgængeligt under de relevante open source-licenser. For eksempel skal fejlrettelser til Linux være licenseret under Gnu General Public Licenses Version 2 (GPLv2).
POC vil derefter gennemgå indlægget, og hvis det virker rimeligt, godkender du betalingen. Wheeler forklarede: “Vi forstår, at der nogle gange opstår problemer. Vi vil bare se troværdige bestræbelser. Hvis der er en alvorlig vejspærring, kan du prøve at foreslå måder at overvinde det eller give delvise/inkrementelle fordele. Vi er nødt til at give finansieringerne tillid til, at vi ikke er t spilder deres penge. “
Så hvilken slags projekter går vi om? Wheeler nævner flere eksempler. Disse omfatter:
Ariadne Conill, Alpine Linux -sikkerhedsteamstolen, forbedrer denne vigtige container Linux -distros sikkerhed. Især har Conill forbedret sin sårbarhedsbehandling og gjort den reproducerbar. For eksempel resulterede dette i, at Alpine 3.14 blev frigivet med det laveste åbne sårbarhedstal i den endelige udgivelse i lang tid.
På Git, det vitale distribuerede versionskontrolsystem, har David Huseby arbejdet på at ændre git for at få en meget mere fleksibel kryptografisk signeringsinfrastruktur. Dette vil gøre det lettere at kontrollere integriteten af softwarekildekoden.
Det er ikke kun Linux-relaterede programmer, der får sikkerhedshjælp. Theo de Raadt, grundlægger og leder af OpenBSD og OpenSSH, har modtaget midler til at sikre OpenSSH's VVS. OpenSSH er en vigtig pakke med sikre Secure Shell (ssh) netværksværktøjer baseret på protokollen. De Raadt er også blevet finansieret for at hjælpe med at sikre Resource Public Key Infrastructure (RPKI), som beskytter internet routingprotokoller mod angreb.
Udover at løse kendte problemer, leder LF og virksomheden også efter sikkerhedsproblemer, vi ikke ved om endnu. Det sker med sikkerhedsrevisioner via Open Source Technology Improvement Fund (OSTIF). Disse projekter inkluderer to Linux -kernelsikkerhedsrevisioner. Den ene til underskrivelse og centrale ledelsespolitikker og den anden til sårbarhedsrapportering og afhjælpning. Fageksperter udfører revisionsrapporterne, mens Wheeler sikrer, at disse rapporter er klare for ikke-eksperter, mens de stadig er nøjagtige.
Fremadrettet arbejder OpenSSF også på at forbedre den overordnede open source-softwaresikkerhed. Disse inkluderer gratis kurser om, hvordan man udvikler sikker software og CII Best Practices -badge -projektet. Andre projekter forbedrer OSS-sikkerheden, herunder sigstore, som gør kryptografiske signaturer meget lettere og forbedrer softwarebilleder (SBOM'er).
Hvis du gerne vil hjælpe med at betale for denne form for arbejde, vil LF høre fra dig. Du kan bidrage til OpenSSF ved blot at kontakte organisationen. Eller, hvis du hellere vil, kan du oprette et tilskud direkte med Linux Foundation selv. Hvis du har spørgsmål, skal du bare e -maile Wheeler på dwheeler@linuxfoundation.org. For mindre beløb – f.eks. For at finansiere et specifikt projekt – kan du også bruge LFX crowdfunding -værktøjer til at finansiere eller anmode om finansiering.
Har du problemer med forretningssiden med at finansiere sikkerhedskodning og revisioner? Du er ikke alene. Som Wheeler sagde: “Mange mennesker og organisationer kæmper for at betale individuelle open source-softwareudviklere på grund af behovet for at håndtere skatter og tilsyn. Hvis det er din bekymring, så tal med os. LF har erfaring og processer til at gøre alt det, og lader eksperter fokus på at få arbejdet udført. “
Relaterede historier:
Det er på tide at forbedre Linuxs sikkerhedPatch nu: Linux -filsystemets sikkerhedshul, kaldet Sequoia, kan overtage systemerNasty Linux systemd sikkerhedsfejl afsløret.
Relaterede emner:
Enterprise Software Security TV Datastyring CXO datacentre 