მიიღეთ გადახდა Linux-ისა და ღია წყაროს უსაფრთხოების გასაუმჯობესებლად

  • Aug 28, 2023

Linux Foundation და მოკავშირეები გადაიხდიან დეველოპერებს, რათა დაეხმარონ Linux-ისა და ღია კოდის პროგრამული უზრუნველყოფის პროგრამების დაცვას.

payed-shutterstock-1369879709.jpg

Linux და ღია კოდის პროგრამული უზრუნველყოფა ბევრად უფრო ადვილია დაცული, ვიდრე საკუთრების პროგრამული უზრუნველყოფა. როგორც ღია წყაროს თანადამფუძნებელი ერიკ ს. რაიმონდმა აღნიშნა ლინუსის კანონი: "თვალების საკმარისი რაოდენობის გათვალისწინებით, ყველა ბუზი ზედაპირულია". მაგრამ ეს მოითხოვს თვალის კაკლებს, რომლებიც ეძებენ შეცდომების პირველ რიგში მუშაობას. ჯიმ ზემლინი, Linux ფონდი (LF)-ის აღმასრულებელმა დირექტორმა განაცხადა შემდგომში გულგახეთქილი და შელშოკი უსაფრთხოების ფიასკოები: ”ამ შემთხვევებში, თვალის კაკლები ნამდვილად არ ჩანდა.

ამის გამოსასწორებლად, დევიდ ა. უილერმა, LF-ის ღია წყაროს მიწოდების ჯაჭვის უსაფრთხოების დირექტორმა, ახლახან გამოავლინა LF ან მასთან დაკავშირებული ფონდები და პროექტები. უშუალოდ აფინანსებს ადამიანებს უსაფრთხოების სამუშაოების შესასრულებლად. აი, როგორ მუშაობს.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

დაფინანსება მოდის სხვადასხვა პრო-ლინუქსისა და ღია წყაროს ორგანიზაციებისგან. მათ შორისაა Google, Microsoft და ღია წყაროს უსაფრთხოების ფონდი (OpenSSF), LF საზოგადოებრივი ჯანდაცვის ფონდიდა თავად LF. როდესაც პრობლემა აღმოჩენილია, დეველოპერი მიმართავს შესაბამის LF ორგანიზაციას. Ზოგადად, ხელშეკრულება, რომელიც მოკლედ აღწერს რა პრობლემას უნდა გამოსწორდეს და როგორ გაკეთდება, იქმნება ამისთვის საჭირო თანხები და ვინ შეასრულებს სამუშაოს.

შემდეგ წინადადებას განიხილავს შესაბამისი LF ტექნიკური განხილვის საკონტაქტო წერტილი (POC). ეს POC ხშირად უილერია თავად.

თქვენი პროექტის დამტკიცების შემდეგ, პროგრესის მოხსენებები მზადდება დაახლოებით თვეში ერთხელ. ეს უნდა შეიცავდეს:

  • საჯაროდ ხელმისაწვდომი პოსტის სტაბილური URL (მაგ. ბლოგი ან დაარქივებული დაგზავნის სიის პოსტი), რომელიც აღწერს იმას, რაც გააკეთეთ იმ თვეში.
  • პოსტში მოკლედ უნდა იყოს აღწერილი, თუ რა გაკეთდა დაფინანსების გამოყენებით ბოლო ინვოისის შემდეგ. ჩართეთ მისი თარიღი და ჰიპერბმულები დეტალებისთვის. თუ git commits იყო ჩართული, შეიტანეთ ჰიპერბმულები მათთან. გაუადვილეთ ტექნიკურ პირებს დეტალების სწავლა (მაგ. ჰიპერბმულების საშუალებით).
  • ასევე, მოკლედ აღწერეთ, რატომ არის ეს ნამუშევარი მნიშვნელოვანი ან დაუკავშირდით ასეთ აღწერას (აღწერილობებს), ვინც არ იცნობს მას. ზოგიერთმა მკითხველმა შეიძლება დაინახოს თქვენი პოსტი კონტექსტიდან მიღმა.
  • მიეცით კრედიტი, როგორც ეროვნული საზოგადოებრივი რადიოს. (მაგ., „ეს ნამუშევარი დაფინანსებულია [ნაწილობრივ] OpenSSF-ის, Google-ისა და Linux Foundation-ის მიერ.") სხვების მადლობის გადახდა ყოველთვის თავაზიანია. ჩვენ ასევე გვინდა, რომ ადამიანებს OSS უსაფრთხოების დაფინანსება ნორმალურად განიხილონ.
  • საჯაროდ მიუთითეთ იდენტიფიკატორი (პირადი სახელი, ფსევდონიმი ან პროექტის სახელი), რომელიც ასრულებს სამუშაოს. ეს ამარტივებს სამუშაოზე მითითებას. თქვენ არ გჭირდებათ თქვენი პერსონალური სახელის (სახელების) საჯაროდ გამჟღავნება, თუმცა ამის გაკეთება შეგიძლიათ.

ეს არის მსუბუქი პროცესი. ამ მოხსენებების დაწერას 20 წუთზე მეტი არ უნდა დასჭირდეს. სამუშაოს შესრულებისას შეიძლება გაგიადვილდეთ პოსტის დაწერა. დაფინანსებული სამუშაო ხელმისაწვდომი უნდა იყოს შესაბამისი ღია წყაროს ლიცენზიით. მაგალითად, Linux-ზე შეცდომების გამოსწორება უნდა იყოს ლიცენზირებული Gnu ზოგადი საჯარო ლიცენზიები ვერსია 2 (GPLv2).

ამის შემდეგ POC განიხილავს პოსტს და თუ გონივრული ჩანს, დაამტკიცებს გადახდას. უილერმა განმარტა: ”ჩვენ გვესმის, რომ ზოგჯერ პრობლემები წარმოიქმნება. ჩვენ უბრალოდ გვინდა დავინახოთ სანდო ძალისხმევა. თუ არსებობს სერიოზული დაბრკოლება, შეეცადეთ შემოგთავაზოთ მისი გადალახვის გზები ან ნაწილობრივი/დამატებითი სარგებელი. ჩვენ უნდა მივცეთ ნდობა დამფინანსებლებს, რომ მათ ფულს არ ვფლანგავთ. ”

მაშ, რა სახის პროექტებზე ვსაუბრობთ? უილერს მოჰყავს რამდენიმე მაგალითი. Ესენი მოიცავს:

არიადნე კონილი, ალპური Linux უსაფრთხოების გუნდის თავმჯდომარე, აუმჯობესებს ამ მნიშვნელოვანი კონტეინერის Linux დისტროს უსაფრთხოებას. კერძოდ, Conill-მა გააუმჯობესა დაუცველობის დამუშავება და გახადა ის რეპროდუცირებადი. მაგალითად, ამან გამოიწვია Alpine 3.14 გამოშვებული ყველაზე დაბალი ღია დაუცველობის რაოდენობით საბოლოო გამოშვებაში დიდი ხნის განმავლობაში.

ჩართულია გიტ, სასიცოცხლოდ მნიშვნელოვანი განაწილებული ვერსიის კონტროლის სისტემა, დევიდ ჰუსბი მუშაობს მოდიფიკაციაზე git-ს ჰქონდეს ბევრად უფრო მოქნილი კრიპტოგრაფიული ხელმოწერის ინფრასტრუქტურა. ეს გაადვილებს პროგრამული უზრუნველყოფის წყაროს კოდის მთლიანობის შემოწმებას.

უსაფრთხოების დახმარებას მხოლოდ Linux-თან დაკავშირებული პროგრამები არ იღებენ. თეო დე რაადტი, დამფუძნებელი და ლიდერი OpenBSD და OpenSSH, მიიღო დაფინანსება OpenSSH-ის სანტექნიკის უზრუნველსაყოფად. OpenSSH არის უსაფრთხო Secure Shell (ssh) ქსელური საშუალებების მნიშვნელოვანი ნაკრები პროტოკოლზე დაფუძნებული. დე რაადტი ასევე დაფინანსდა უსაფრთხოების დასახმარებლად რესურსების საჯარო გასაღების ინფრასტრუქტურა (RPKI), რომელიც იცავს ინტერნეტის მარშრუტიზაციის პროტოკოლებს თავდასხმისგან.

ცნობილი პრობლემების გადაჭრის გარდა, LF და კომპანია ასევე ეძებენ უსაფრთხოების პრობლემებს, რომელთა შესახებ ჯერ არ ვიცით. ეს კეთდება უსაფრთხოების აუდიტის საშუალებით ღია კოდის ტექნოლოგიების გაუმჯობესების ფონდი (OSTIF). ეს პროექტები მოიცავს Linux-ის ბირთვის უსაფრთხოების ორ აუდიტს. ერთი ამისთვის ხელმოწერა და ძირითადი მართვის პოლიტიკა და მეორე ამისთვის მოწყვლადობის მოხსენება და გამოსწორება. საგნის ექსპერტები ასრულებენ აუდიტის ანგარიშებს, ხოლო უილერი დარწმუნდება, რომ ეს ანგარიშები ნათელია არაექსპერტებისთვის, მაგრამ მაინც ზუსტი.

მომავალში, OpenSSF ასევე მუშაობს ღია კოდის პროგრამული უზრუნველყოფის მთლიანი უსაფრთხოების გაუმჯობესებაზე. Ესენი მოიცავს უფასო კურსები უსაფრთხო პროგრამული უზრუნველყოფის შემუშავების შესახებ და CII საუკეთესო პრაქტიკის სამკერდე ნიშანი პროექტი. სხვა პროექტები აუმჯობესებს OSS უსაფრთხოებას, მოიცავს sigstore, რაც კრიპტოგრაფიულ ხელმოწერებს ბევრად ამარტივებს და აუმჯობესებს პროგრამული უზრუნველყოფის ბილეთები (SBOM).

თუ გსურთ დაგეხმაროთ ამ სახის სამუშაოს გადახდაში, LF-ს სურს მოისმინოს თქვენგან. თქვენ შეგიძლიათ წვლილი შეიტანოთ OpenSSF უბრალოდ დაუკავშირდით ორგანიზაციას, ან, თუ გსურთ, შეგიძლიათ შექმნათ გრანტი უშუალოდ Linux Foundation-თან. თუ თქვენ გაქვთ შეკითხვები, უბრალოდ ელ.წერილი Wheeler-ზე [email protected]. უფრო მცირე თანხებისთვის - ვთქვათ, კონკრეტული პროექტის დასაფინანსებლად - ასევე შეგიძლიათ გამოიყენოთ LFX crowdfunding ინსტრუმენტები დააფინანსოს ან მოითხოვოს დაფინანსება.

პრობლემები გაქვთ უსაფრთხოების კოდირებისა და აუდიტის დაფინანსების ბიზნეს მხარესთან? Შენ არ ხარ მარტო. როგორც უილერმა თქვა: ”ბევრი ადამიანი და ორგანიზაცია იბრძვის გადაიხადოს ინდივიდუალური ღია კოდის პროგრამული უზრუნველყოფის დეველოპერები გადასახადების და ზედამხედველობის საჭიროების გამო. თუ ეს თქვენი საზრუნავია, დაელაპარაკეთ ჩვენთან. LF-ს აქვს გამოცდილება და პროცესები ამ ყველაფრის გასაკეთებლად, რაც საშუალებას აძლევს ექსპერტებს ფოკუსირება მოახდინონ სამუშაოს შესრულებაზე. ”

დაკავშირებული ისტორიები:

  • დროა გავაუმჯობესოთ Linux-ის უსაფრთხოება
  • შესწორება ახლავე: Linux ფაილური სისტემის უსაფრთხოების ხვრელი, სახელწოდებით Sequoia, შეუძლია დაიპყროს სისტემები
  • გამოვლინდა Linux-ის სისტემის უსაფრთხოების საზიზღარი შეცდომა.