Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее
В августе Linux Foundation основали фонд OpenSSF. В него вошли — Core Infrastructure Initiative и Open Source Security Coalition. Их участники разработают инструментарий для поиска уязвимостей в коде и верификации программистов, участвующих в его написании. Рассказываем, что к чему.
[1]
Фото — Andrew Sharp [2] — Unsplash
В чем выгода для ИТ-индустрии
Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.
Примером может быть Heartbleed [3] в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них до сих пор не пропатчены [4].
Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab — оно помогает [5] участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub позволяет получить [6] CVE-идентификатор для обнаруженной проблемы и подготовить отчет.
Лучшие методологии разработки. Будет сформирована [7] курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник открытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний будут проводить [8] онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.
Фото — Walid Hamadeh [9] — Unsplash
Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать [10] новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер внедрил [11] в неё бэкдор для кражи криптовалюты.
Взгляд на перспективу
ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta) отметил [12], что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать «заплатки» в сжатые сроки и сокращать риски.
Хотя один из резидентов Hacker News в тематическом треде высказал беспокойство [13], что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная в одном из комиксов XKCD [14].
Материалы по теме из нашего корпоративного блога:
Какие есть открытые ОС для сетевого оборудования [15]
Как Европа переходит на открытое ПО для госучреждений [16]
Участие в open source проектах может быть выгодным для компаний — почему и что это дает [17]
Вся история Linux. Часть I: с чего все началось [18]
Вся история Linux. Часть II: корпоративные перипетии [19]
История Linux. Часть III: новые рынки и старые «враги» [20]
Бенчмарки для Linux-серверов [21]
Автор: 1cloud
Источник [22]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/357147
Ссылки в тексте:
[1] Image: https://habr.com/ru/company/1cloud/blog/519620/
[2] Andrew Sharp: https://unsplash.com/photos/YkNmM5NWnVs
[3] Heartbleed: https://heartbleed.com/
[4] до сих пор не пропатчены: https://securesense.ca/almost-200k-websites-affected-openssl-heartbleed-vulnerability-counting/
[5] помогает: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
[6] позволяет получить: https://github.blog/changelog/2019-11-11-security-advisories-generally-available-can-request-cves/
[7] сформирована: https://github.com/ossf/wg-best-practices-oss-developers/blob/main/docs/inventory.md
[8] будут проводить: https://github.com/ossf/wg-best-practices-oss-developers
[9] Walid Hamadeh: https://unsplash.com/photos/0x3zvwkQ-zo
[10] планируют разработать: https://github.com/ossf/wg-developer-identity
[11] внедрил: https://www.zdnet.com/article/hacker-backdoors-popular-javascript-library-to-steal-bitcoin-funds/
[12] отметил: https://www.theregister.com/2020/08/03/linux_foundation_forms_openssf/
[13] высказал беспокойство: https://news.ycombinator.com/item?id=24046958
[14] в одном из комиксов XKCD: https://xkcd.com/927/
[15] Какие есть открытые ОС для сетевого оборудования: https://1cloud.ru/blog/kakie-est-otkrytye-os-dlya-setevogo-oborudovaniya?utm_source=habrahabr&utm_medium=cpm&utm_campaign=openfound&utm_content=blog
[16] Как Европа переходит на открытое ПО для госучреждений: https://1cloud.ru/blog/kak-evropa-perekhodit-na-otkrytoe-po-dlya-gosuchrezhdenij?utm_source=habrahabr&utm_medium=cpm&utm_campaign=openfound&utm_content=blog
[17] Участие в open source проектах может быть выгодным для компаний — почему и что это дает: https://1cloud.ru/blog/uchastie-v-open-source-proektah?utm_source=habrahabr&utm_medium=cpm&utm_campaign=openfound&utm_content=blog
[18] Вся история Linux. Часть I: с чего все началось: https://1cloud.ru/blog/vsya-istoriya-linux-chast-1?utm_source=habrahabr&utm_medium=cpm&utm_campaign=openfound&utm_content=blog
[19] Вся история Linux. Часть II: корпоративные перипетии: https://1cloud.ru/blog/vsya-istoriya-linux-chast-2?utm_source=habrahabr&utm_medium=cpm&utm_campaign=openfound&utm_content=blog
[20] История Linux. Часть III: новые рынки и старые «враги»: https://1cloud.ru/blog/vsya-istoriya-linux-chast-3?utm_source=habrahabr&utm_medium=cpm&utm_campaign=openfound&utm_content=blog
[21] Бенчмарки для Linux-серверов: https://youtu.be/N5SuMc9Tylo
[22] Источник: https://habr.com/ru/post/519620/?utm_source=habrahabr&utm_medium=rss&utm_campaign=519620
Нажмите здесь для печати.