Linux och öppen källkod är mycket lättare att säkra än egenutvecklad programvara. Som medgrundare av öppen källkod Eric S. Raymond påpekade med Linus lag: “Med tanke på tillräckligt med ögonbollar är alla buggar grunda.” Men det kräver att ögonbollar letar efter buggar i första hand för att få det att fungera. Jim Zemlin, Linux Foundation (LF): s verkställande direktör, sa i efterdyningarna av Heartbleed och Shellshocks säkerhetsfascos: “I dessa fall såg ögonbollarna inte riktigt ut.”
För att hjälpa till att åtgärda detta avslöjade David A. Wheeler, LF: s chef för Open Source Supply Chain Security, nyligen LF eller dess relaterade stiftelser och projekt som direkt finansierar människor för att utföra säkerhetsarbete. Så här fungerar det.
Finansieringen kommer från en mängd olika pro-Linux och open-source organisationer. Dessa inkluderar Google, Microsoft, Open Source Security Foundation (OpenSSF), LF Public Health Foundation och LF själv. När ett problem hittas når en utvecklare ut till lämplig LF -organisation. Generellt sett upprättas ett kontrakt som kort beskriver vilket problem som måste åtgärdas och hur det kommer att göras, de medel som krävs för det och vem som ska utföra arbetet.
Förslaget granskas sedan av lämplig LF -kontaktpunkt (POC). Denna POC är ofta Wheeler själv.
När ditt projekt har godkänts görs framstegsrapporter ungefär en gång i månaden. Dessa måste innehålla:
En stabil URL till ett offentligt tillgängligt inlägg (t.ex. en blogg eller arkiverad postlista) som beskriver vad du gjorde den månaden. Inlägget måste kort beskriva vad som har åstadkommits med hjälp av finansieringen sedan den senaste fakturan. Inkludera datum och hyperlänkar till detaljer. Om git commits var inblandade, inkludera hyperlänkar till dem. Gör det enkelt för tekniska personer att lära sig detaljer (t.ex. via hyperlänkar). Beskriv också kort varför detta arbete är viktigt eller länk till sådana beskrivningar för någon som inte är väl förtrogen med det. Vissa läsare kan se ditt inlägg ur sitt sammanhang. Ge kredit, liknande National Public Radio. (t.ex. “Detta arbete till & lt; X & gt; finansierades [delvis] av OpenSSF, Google och The Linux Foundation.”) Att tacka andra är alltid artigt. Vi vill också att folk ska överväga att finansiera OSS -säkerhet som normalt. Ge offentligt en identifierare (ett personnamn, pseudonym eller projektnamn) för vem som utför arbetet. Detta förenklar hänvisningen till verket. Du behöver inte avslöja dina personliga namn offentligt, även om du är välkommen att göra det.
Detta är en lätt process. Det bör inte ta mer än 20 minuter att skriva dessa rapporter. Du kanske har lättare att skriva ditt inlägg medan du gör jobbet. Finansierat arbete måste vara tillgängligt under lämpliga licenser för öppen källkod. Till exempel måste buggfixar till Linux vara licensierade enligt Gnu General Public Licenses Version 2 (GPLv2).
POC kommer sedan att granska inlägget, och om det verkar rimligt, godkänna betalningen. Wheeler förklarade: “Vi förstår att det ibland uppstår problem. Vi vill bara se trovärdiga insatser. Om det finns en allvarlig vägspärr, försök att föreslå sätt att övervinna det eller ge delvis/inkrementella fördelar. Vi måste ge förtroende för finansiärer att vi inte är t slösar bort sina pengar. “
Så, vilken typ av projekt går vi om? Wheeler nämner flera exempel. Dessa inkluderar:
Ariadne Conill, Alpine Linux -säkerhetsteamstolen, förbättrar denna viktiga Linux -distros behållare. I synnerhet har Conill förbättrat sin sårbarhetsbehandling och gjort den reproducerbar. Detta resulterade till exempel i att Alpine 3.14 släpptes med det lägsta öppna sårbarhetsantalet i den slutliga versionen på länge.
På Git, det vitala distribuerade versionskontrollsystemet, har David Huseby arbetat med att modifiera git för att få en mycket mer flexibel kryptografisk signeringsinfrastruktur. Detta kommer att göra det lättare att verifiera programvarukällkodens integritet.
Det är inte bara Linux-relaterade program som får säkerhetshjälp. Theo de Raadt, grundare och ledare för OpenBSD och OpenSSH, har fått finansiering för att säkra OpenSSHs VVS. OpenSSH är en viktig svit av säkra nätverksverktyg för Secure Shell (ssh) baserat på protokollet. De Raadt har också finansierats för att säkra Resource Public Key Infrastructure (RPKI), som skyddar internetdirigeringsprotokoll från attacker.
Förutom att åtgärda kända problem letar LF och företaget också efter säkerhetsproblem vi inte vet om ännu. Det görs med säkerhetsrevisioner via Open Source Technology Improvement Fund (OSTIF). Dessa projekt inkluderar två Linux -kärnsäkerhetsrevisioner. Den ena för signering och viktiga hanteringspolicyer och den andra för sårbarhetsrapportering och avhjälpning. Ämnesexperter utför granskningsrapporterna, medan Wheeler ser till att dessa rapporter är tydliga för icke-experter samtidigt som de är korrekta.
I framtiden arbetar OpenSSF också med att förbättra den övergripande öppen källkodssäkerheten. Dessa inkluderar gratis kurser om hur man utvecklar säker programvara och CII Best Practices -märkesprojektet. Andra projekt förbättrar OSS-säkerheten, inklusive sigstore, vilket gör kryptografiska signaturer mycket enklare och förbättrar mjukvara (SBOM).
Om du vill hjälpa till att betala för den här typen av arbete vill LF höra av dig. Du kan bidra till OpenSSF genom att bara kontakta organisationen. Eller om du vill kan du skapa ett bidrag direkt med Linux Foundation själv. Om du har frågor är det bara att maila Wheeler på dwheeler@linuxfoundation.org. För mindre belopp – säg för att finansiera ett specifikt projekt – kan du också använda LFX crowdfunding -verktyg för att finansiera eller begära finansiering.
Har du problem med affärssidan för att finansiera säkerhetskodning och revisioner? Du är inte ensam. Som Wheeler sa: “Många människor och organisationer kämpar för att betala enskilda programvaruutvecklare med öppen källkod på grund av behovet av att hantera skatter och tillsyn. Om det är din oro, prata med oss. LF har erfarenhet och processer för att göra allt detta, och låter experter fokusera på att få arbetet gjort. “
Relaterade berättelser:
Det är dags att förbättra Linuxs säkerhetPatch nu: Linux -filsystemets säkerhetshål, kallat Sequoia, kan ta över systemNasty Linux systemd säkerhetsfel avslöjades.
Relaterade ämnen:
Enterprise Software Security TV Data Management CXO Data Center 