Linux e il software open source sono molto più facili da proteggere rispetto al software proprietario. Come ha sottolineato il co-fondatore dell'open source Eric S. Raymond con la legge di Linus: “Dato abbastanza bulbi oculari, tutti i bug sono superficiali”. Ma richiede in primo luogo occhi alla ricerca di bug per farlo funzionare. Jim Zemlin, direttore esecutivo della Linux Foundation (LF), ha dichiarato all'indomani dei fiaschi di sicurezza di Heartbleed e Shellshock: “In questi casi, i bulbi oculari non stavano davvero guardando”.
Per aiutare a rimediare a questo problema, David A. Wheeler, direttore di Open Source Supply Chain Security di LF, ha recentemente rivelato che LF o le sue fondazioni e progetti correlati finanziano direttamente le persone per svolgere attività di sicurezza. Ecco come funziona.
Il finanziamento proviene da una varietà di organizzazioni pro-Linux e open-source. Questi includono Google, Microsoft, la Open Source Security Foundation (OpenSSF), la fondazione LF Public Health e la stessa LF. Quando viene rilevato un problema, uno sviluppatore si rivolge all'organizzazione LF appropriata. In generale, viene creato un contratto che descrive brevemente quale problema deve essere risolto e come sarà fatto, i fondi necessari per esso e chi farà il lavoro.
La proposta viene quindi esaminata dal punto di contatto per la revisione tecnica (POC) di LF appropriato. Questo POC è spesso lo stesso Wheeler.
Una volta approvato il progetto, i rapporti sullo stato di avanzamento vengono redatti circa una volta al mese. Questi devono includere:
Un URL stabile di un post pubblicamente accessibile (ad es. un blog o un post archiviato di una mailing list) che descriva ciò che hai fatto quel mese. Il post deve descrivere brevemente ciò che è stato realizzato utilizzando il finanziamento dall'ultima fattura. Includi la sua data e i collegamenti ipertestuali ai dettagli. Se sono stati coinvolti commit git, includi collegamenti ipertestuali ad essi. Rendi più facile per i tecnici apprendere i dettagli (ad esempio, tramite collegamenti ipertestuali). Descrivi brevemente anche perché questo lavoro è importante o collega a tali descrizioni, per qualcuno che non lo conosce intimamente. Alcuni lettori potrebbero vedere il tuo post fuori contesto. Dai credito, in modo simile alla National Public Radio. (ad esempio, “Questo lavoro per <X> è stato [parzialmente] finanziato da OpenSSF, Google e The Linux Foundation.”) Ringraziare gli altri è sempre educato. Vogliamo anche che le persone considerino normale il finanziamento della sicurezza OSS. Fornire pubblicamente un identificatore (un nome personale, uno pseudonimo o un nome di progetto) di chi sta facendo il lavoro. Questo semplifica il riferimento al lavoro. Non è necessario che tu riveli pubblicamente i tuoi nomi personali, anche se puoi farlo.
Questo è un processo leggero. Non dovrebbero volerci più di 20 minuti per scrivere questi rapporti. Potresti trovare più facile scrivere il tuo post mentre svolgi il lavoro. Il lavoro finanziato deve essere disponibile con le licenze open source appropriate. Ad esempio, le correzioni di bug su Linux devono essere rilasciate con licenza Gnu General Public Licenses Version 2 (GPLv2).
Il POC esaminerà quindi il post e, se sembra ragionevole, approverà il pagamento. Wheeler ha spiegato: “Comprendiamo che a volte sorgono problemi. Vogliamo solo vedere sforzi credibili. Se c'è un serio ostacolo, prova a suggerire modi per superarlo o fornire benefici parziali/incrementali. Dobbiamo dare fiducia ai finanziatori che siamo” t sprecare i loro soldi.”
Quindi, di che tipo di progetti stiamo camminando? Wheeler cita diversi esempi. Questi includono:
Ariadne Conill, il presidente del team di sicurezza di Alpine Linux, sta migliorando la sicurezza di questo importante contenitore di distro Linux. In particolare, Conill ha migliorato la sua elaborazione delle vulnerabilità e l'ha resa riproducibile. Ad esempio, ciò ha comportato il rilascio di Alpine 3.14 con il numero di vulnerabilità aperte più basso nella versione finale da molto tempo.
Su Git, il vitale sistema di controllo della versione distribuito, David Huseby ha lavorato alla modifica di git per avere un'infrastruttura di firma crittografica molto più flessibile. Ciò renderà più semplice verificare l'integrità del codice sorgente del software.
Non sono solo i programmi relativi a Linux a ricevere aiuto per la sicurezza. Theo de Raadt, fondatore e leader di OpenBSD e OpenSSH, ha ricevuto finanziamenti per proteggere l'impianto idraulico di OpenSSH. OpenSSH è un'importante suite di utilità di rete sicure Secure Shell (ssh) basate sul protocollo. De Raadt è stato anche finanziato per aiutare a proteggere la Resource Public Key Infrastructure (RPKI), che protegge i protocolli di routing Internet dagli attacchi.
Oltre a risolvere problemi noti, l'LF e la compagnia sono anche alla ricerca di problemi di sicurezza di cui non siamo ancora a conoscenza. Questo viene fatto con i controlli di sicurezza tramite l'Open Source Technology Improvement Fund (OSTIF). Questi progetti includono due audit di sicurezza del kernel Linux. Uno per la firma e le politiche di gestione delle chiavi e l'altro per la segnalazione e la risoluzione delle vulnerabilità. Gli esperti in materia eseguono i rapporti di audit, mentre Wheeler assicura che questi rapporti siano chiari ai non esperti pur rimanendo accurati.
Guardando al futuro, OpenSSF sta anche lavorando per migliorare la sicurezza complessiva del software open source. Questi includono corsi gratuiti su come sviluppare software sicuro e il progetto del badge CII Best Practices. Altri progetti migliorano la sicurezza OSS, tra cui sigstore, che semplifica notevolmente le firme crittografiche e migliora la distinta base del software (SBOM).
Se vuoi aiutare a pagare questo tipo di lavoro, la LF vuole sentirti. Puoi contribuire a OpenSSF semplicemente contattando l'organizzazione, oppure, se preferisci, puoi creare una sovvenzione direttamente con la stessa Linux Foundation. In caso di domande, inviare un'e-mail a Wheeler all'indirizzo dwheeler@linuxfoundation.org. Per importi inferiori, ad esempio per finanziare un progetto specifico, puoi anche utilizzare gli strumenti di crowdfunding di LFX per finanziare o richiedere finanziamenti.
Hai problemi con il lato commerciale del finanziamento della codifica e degli audit di sicurezza? Non sei solo. Come ha detto Wheeler: “Molte persone e organizzazioni faticano a pagare i singoli sviluppatori di software open source a causa della necessità di gestire le tasse e la supervisione. Se questa è la tua preoccupazione, parla con noi. L'LF ha esperienza e processi per fare tutto questo, lasciando che gli esperti concentrati sul portare a termine il lavoro.”
Storie correlate:
È ora di migliorare la sicurezza di LinuxPatch ora: la falla di sicurezza del file system Linux, soprannominata Sequoia, può prendere il sopravvento sui sistemiNasty Rivelato bug di sicurezza del sistema Linux.
Argomenti correlati:
Enterprise Software Security TV Data Management CXO Data Center 