Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее20.09.2020 18:48

В августе Linux Foundation основали фонд OpenSSF. В него вошли — Core Infrastructure Initiative и Open Source Security Coalition. Их участники разработают инструментарий для поиска уязвимостей в коде и верификации программистов, участвующих в его написании. Рассказываем, что к чему.

y3kjk3az6mr9e4ye0d7-cmucmxu.jpeg
Фото — Andrew Sharp — Unsplash

В чем выгода для ИТ-индустрии


Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.

Примером может быть Heartbleed в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них до сих пор не пропатчены.

Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab — оно помогает участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub позволяет получить CVE-идентификатор для обнаруженной проблемы и подготовить отчет.

Лучшие методологии разработки. Будет сформирована курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник открытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний будут проводить онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.

g6jgcukhkrjfq8uflt8dxd1k8oq.jpeg
Фото — Walid Hamadeh — Unsplash

Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер внедрил в неё бэкдор для кражи криптовалюты.

Взгляд на перспективу


ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta) отметил, что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать «заплатки» в сжатые сроки и сокращать риски.

Хотя один из резидентов Hacker News в тематическом треде высказал беспокойство, что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная в одном из комиксов XKCD.


Материалы по теме из нашего корпоративного блога:

actz7ltk4slyfsj1icsuxxc2c-m.pngКакие есть открытые ОС для сетевого оборудования
actz7ltk4slyfsj1icsuxxc2c-m.pngКак Европа переходит на открытое ПО для госучреждений
actz7ltk4slyfsj1icsuxxc2c-m.pngУчастие в open source проектах может быть выгодным для компаний — почему и что это дает
actz7ltk4slyfsj1icsuxxc2c-m.pngВся история Linux. Часть I: с чего все началось
actz7ltk4slyfsj1icsuxxc2c-m.pngВся история Linux. Часть II: корпоративные перипетии
actz7ltk4slyfsj1icsuxxc2c-m.pngИстория Linux. Часть III: новые рынки и старые «враги»
qptzoop11y_trvrrufgovfzhdmk.pngБенчмарки для Linux-серверов

© Habrahabr.ru