Microsoft попросила включить ее в закрытую группу информационной безопасности Linux

f1d04d88e298a79ec07c459a73fc03d7

Linux — открытое программное обеспечение, так что вклад в систему и ее компоненты может внести практически каждый разработчик. Но есть и исключение — им является закрытая группа разработчиков, которые обмениваются информацией об уязвимостях Linux, включая и те, что пока неизвестны широкой общественности. Просто так в эту группу попасть нельзя — за нового разработчика должен поручиться член группы.

На днях корпорация Microsoft попросила добавить нескольких ее сотрудников в эту группу. К слову, ее членами являются Canonical, Debian, Red Hat, Chrome OS, Amazon Web Services (AWS), Oracle и SUSE. Компания подала заявку на включение ее не в одно, а сразу в два сообщество. Первое — то, где обсуждаются недавно обнаруженные уязвимости, информация о которых еще не распространилась, и второе — то, разработчики которой исправляют уже известные проблемы с безопасностью.
Компании это нужно для того, чтобы своевременно узнавать о проблемах и исправлять их в собственных продуктах. Как правило, обсуждение уязвимостей продолжается от недели до двух. После этого информация публикуется в открытом доступе.

Саша Левин, главный разработчик ядра Linux в Microsoft заявил, что после включения в обе группы у компании будет достаточно времени для тестирования патчей. Разработчики Microsoft могут создать патч для исправления известной уязвимости всего за несколько часов, но корпорация хотела бы исправлять проблемы еще до того, как о них становится известно.

Сейчас у корпорации три направления работы с продуктами, основанными на Linux. Первое — Azure Sphere. Это операционная система на базе ядра Linux, созданная Microsoft для IoT-приложений. Второе — Windows Subsystem for Linux (WSL) (вторая версия). Этот продукт предназначен для запуска бинарников ELF64 Linux в среде Windows. Третье — Azure HDInsight и Azure Kubernetes Service.

По словам Левина, корпорация, после включения ее в указанные выше группы, сможет качественно тестировать патчи прежде, чем выкладывать их в общий доступ. Разработчики получат дополнительное время для проведения необходимых проверок.

Для того, чтобы компанию включили в список, она должна соответствовать ряду критериев и требований. Главное — у нее должна быть пользовательская база Linux, в которую входят не только представители самой организации. По мнению компании, поскольку ядро Linux входит в ее дистрибутивы, то пользователями Linux-продуктов корпорации являются миллионы человек.

Еще одно условие — опыт работы продолжительностью в год над решением проблем с уязвимостями в Linux, а также возможность выпускать патчи чаще, чем раз в десять дней. Плюс ко всему, как уже говорилось выше, должен быть человек или компания, которые поручатся за новичка. За Microsoft и Левина уже поручились — это сделал разработчик ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman).

© Habrahabr.ru