Linux en open source software zijn veel gemakkelijker te beveiligen dan propriëtaire software. Zoals open-source mede-oprichter Eric S. Raymond opmerkte met de wet van Linus: “Als we genoeg oog hebben, zijn alle bugs oppervlakkig.” Maar het vereist in de eerste plaats oogbollen die op zoek zijn naar bugs om het te laten werken. Jim Zemlin, de uitvoerend directeur van de Linux Foundation (LF), zei in de nasleep van de Heartbleed- en Shellshock-beveiligingsfiasco's: “In deze gevallen keken de ogen niet echt.”
Om dit te verhelpen, onthulde David A. Wheeler, de directeur van Open Source Supply Chain Security van de LF, onlangs dat de LF of de gerelateerde stichtingen en projecten rechtstreeks mensen financieren om beveiligingswerk te doen. Zo werkt het.
De financiering komt van verschillende pro-Linux en open-source organisaties. Deze omvatten Google, Microsoft, de Open Source Security Foundation (OpenSSF), de LF Public Health Foundation en de LF zelf. Wanneer een probleem wordt gevonden, neemt een ontwikkelaar contact op met de juiste LF-organisatie. Over het algemeen wordt er een contract opgesteld waarin in het kort wordt beschreven welk probleem moet worden opgelost en hoe het moet worden opgelost, welke fondsen daarvoor nodig zijn en wie het werk gaat doen.
Het voorstel wordt vervolgens onderzocht door het bevoegde LF-contactpunt voor technische beoordeling (POC). Deze POC is vaak Wheeler zelf.
Zodra uw project is goedgekeurd, worden ongeveer eens per maand voortgangsrapporten gemaakt. Deze moeten het volgende bevatten:
Een stabiele URL van een openbaar toegankelijke post (bijvoorbeeld een blog of gearchiveerde mailinglijstpost) waarin wordt beschreven wat u die maand hebt gedaan. De post moet kort beschrijven wat er is bereikt met de financiering sinds de laatste factuur. Voeg de datum en hyperlinks naar details toe. Als er git commits bij betrokken waren, voeg er dan hyperlinks naar toe. Maak het voor technische mensen gemakkelijk om details te leren (bijvoorbeeld via hyperlinks). Beschrijf ook kort waarom dit werk belangrijk is of link naar dergelijke beschrijving(en), voor iemand die er niet goed bekend mee is. Sommige lezers zien je bericht misschien uit de context. Geef eer, vergelijkbaar met National Public Radio. (bijv. “Dit werk aan <X> werd [gedeeltelijk] gefinancierd door de OpenSSF, Google en The Linux Foundation.”) Anderen bedanken is altijd beleefd. We willen ook dat mensen het financieren van OSS-beveiliging als normaal beschouwen. Geef openbaar een identificatie (een persoonlijke naam, pseudoniem of projectnaam) van wie het werk doet. Dit vereenvoudigt de verwijzing naar het werk. U hoeft uw persoonlijke naam/namen niet openbaar te maken, maar u mag dit wel doen.
Dit is een lichtgewicht proces. Het schrijven van deze rapporten mag niet meer dan 20 minuten duren. Misschien vindt u het gemakkelijker om uw bericht te schrijven terwijl u aan het werk bent. Gefinancierd werk moet beschikbaar zijn onder de juiste open-sourcelicenties. Bugfixes voor Linux moeten bijvoorbeeld worden gelicentieerd onder de Gnu General Public Licenses Version 2 (GPLv2).
De POC zal dan de post beoordelen en als het redelijk lijkt, de betaling goedkeuren. Wheeler legt uit: “We begrijpen dat er zich soms problemen voordoen. We willen gewoon geloofwaardige inspanningen zien. Als er een ernstige wegversperring is, probeer dan manieren voor te stellen om deze te overwinnen of gedeeltelijke/incrementele voordelen te bieden. We moeten financiers het vertrouwen geven dat we zijn ' niet hun geld verspillen.”
Dus, over wat voor soort projecten lopen we? Wheeler noemt verschillende voorbeelden. Deze omvatten:
Ariadne Conill, de voorzitter van het Alpine Linux-beveiligingsteam, verbetert de beveiliging van deze belangrijke Linux-distributie voor containers. Conill heeft met name de verwerking van kwetsbaarheden verbeterd en reproduceerbaar gemaakt. Dit leidde er bijvoorbeeld toe dat Alpine 3.14 werd uitgebracht met het laagste aantal open kwetsbaarheden in de definitieve release sinds lange tijd.
Op Git, het vitale gedistribueerde versiebeheersysteem, heeft David Huseby gewerkt aan het aanpassen van git om een veel flexibelere cryptografische ondertekeningsinfrastructuur te hebben. Dit maakt het gemakkelijker om de integriteit van de softwarebroncode te verifiëren.
Het zijn niet alleen Linux-gerelateerde programma's die beveiligingshulp krijgen. Theo de Raadt, oprichter en leider van OpenBSD en OpenSSH, heeft financiering ontvangen om OpenSSH's sanitair veilig te stellen. OpenSSH is een belangrijke suite van veilige Secure Shell (ssh)-netwerkhulpprogramma's op basis van het protocol. De Raadt is ook gefinancierd om de Resource Public Key Infrastructure (RPKI) te helpen beveiligen, die internetrouteringsprotocollen beschermt tegen aanvallen.
Naast het oplossen van bekende problemen, zijn de LF en het bedrijf ook op zoek naar beveiligingsproblemen die we nog niet kennen. Dat gebeurt met security audits via het Open Source Technology Improvement Fund (OSTIF). Deze projecten omvatten twee Linux-kernelbeveiligingsaudits. Een voor ondertekening en sleutelbeheerbeleid en de andere voor kwetsbaarheidsrapportage en herstel. Vakexperts voeren de auditrapporten uit, terwijl Wheeler ervoor zorgt dat deze rapporten duidelijk zijn voor niet-experts en toch accuraat zijn.
Vooruitkijkend werkt OpenSSF ook aan het verbeteren van de algehele beveiliging van open-sourcesoftware. Deze omvatten gratis cursussen over het ontwikkelen van veilige software en het CII Best Practices-badgeproject. Andere projecten verbeteren de OSS-beveiliging, waaronder sigstore, dat cryptografische handtekeningen veel eenvoudiger maakt en software stuklijsten (SBOM's) verbetert.
Als u dit soort werk wilt helpen betalen, dan hoort de LF graag van u. Je kunt een bijdrage leveren aan de OpenSSF door gewoon contact op te nemen met de organisatie, of, als je dat liever hebt, je kunt rechtstreeks een subsidie aanvragen bij de Linux Foundation zelf. Als je vragen hebt, stuur dan een e-mail naar Wheeler op dwheeler@linuxfoundation.org. Voor kleinere bedragen, bijvoorbeeld om een specifiek project te financieren, kunt u ook de LFX-crowdfundingtools gebruiken om financiering te financieren of aan te vragen.
Heeft u problemen met de zakelijke kant van de financiering van beveiligingscodering en -audits? Je bent niet alleen. Zoals Wheeler zei: “Veel mensen en organisaties hebben moeite om individuele open-source softwareontwikkelaars te betalen vanwege de noodzaak om belastingen en toezicht af te handelen. Als dat uw zorg is, praat dan met ons. De LF heeft ervaring en processen om dat alles te doen, zodat experts focus op het werk gedaan krijgen.”
Verwante verhalen:
Het is nu tijd om de Linux-beveiligingspatch te verbeteren: beveiligingslek in het Linux-bestandssysteem, genaamd Sequoia, kan systemen overnemen Nasty Linux systemd-beveiligingsbug onthuld.
Verwante onderwerpen:
Enterprise Software Beveiliging TV-gegevensbeheer CXO-datacenters 