Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее

    В августе Linux Foundation основали фонд OpenSSF. В него вошли — Core Infrastructure Initiative и Open Source Security Coalition. Их участники разработают инструментарий для поиска уязвимостей в коде и верификации программистов, участвующих в его написании. Рассказываем, что к чему.


    Фото — Andrew Sharp — Unsplash

    В чем выгода для ИТ-индустрии


    Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.

    Примером может быть Heartbleed в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них до сих пор не пропатчены.

    Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab — оно помогает участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub позволяет получить CVE-идентификатор для обнаруженной проблемы и подготовить отчет.

    Лучшие методологии разработки. Будет сформирована курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник открытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний будут проводить онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.


    Фото — Walid Hamadeh — Unsplash

    Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер внедрил в неё бэкдор для кражи криптовалюты.

    Взгляд на перспективу


    ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta) отметил, что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать «заплатки» в сжатые сроки и сокращать риски.

    Хотя один из резидентов Hacker News в тематическом треде высказал беспокойство, что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная в одном из комиксов XKCD.



    Материалы по теме из нашего корпоративного блога:

    Какие есть открытые ОС для сетевого оборудования
    Как Европа переходит на открытое ПО для госучреждений
    Участие в open source проектах может быть выгодным для компаний — почему и что это дает
    Вся история Linux. Часть I: с чего все началось
    Вся история Linux. Часть II: корпоративные перипетии
    История Linux. Часть III: новые рынки и старые «враги»
    Бенчмарки для Linux-серверов



    1cloud.ru
    IaaS, VPS, VDS, Частное и публичное облако, SSL

    Комментарии 2

      +1
      «В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но...»

      Но учитывая, что Linux Foundation полностью контроллируется корпоративными донорами из Microsoft, Google и Facebook можно не сомневаться, что данные механизмы позволят улучшить базу данных потенциальных сотрудников для данных компаний и нарушит все возможные и невозможные границы частной жизни участников опенсорс проектов. Вангую аутентификацию перед коммитом через OpenID с обязательной проверкой профилей в соц сетях и автоматическими банами по случайной причине без объяснений в стиле гугла. Нет профиля в ФБ — не стоит тебе доверять такую ответственную вещь, как комит в опенсорсный проект, а то мало ли в какие библиотеки, которые МС вшивает в свои продукты без валидации и code review, ты закинешь свой вирус. А если учесть, что МС уже купила Гитхаб, то и с принудительным внедрением данных инновационных мер безопасности проблем очевидно не возникнет.
        0
        Как на счёт того, чтобы обсудить СТАРЫЕ проекты?

        Вот был CCured, требующий небольшоно допиливания существующего софта на небезопасном языке Си, после чего получается относительно быстро работающий софт с проверками.

        web.eecs.umich.edu/~weimerw/p/p232-condit.pdf

        Под него портировали sendmail, ftpd, bind. И где это всё? Куда пошли эти достижения?

        Вот есть ACSL, но единственный инструмент, который с ним работает, это верификатор Frama-C, то есть, программа должна быть верифицируема, а это надо с нуля уметь так писать. Нет инструмента, чтоб с тем же синтаксисом добавлять языковые проверки.

        После того, как код на Си инкрустирован CCured и аннотациями ACSL, его можно было бы автоматом переводить в более безопасный язык программирования, такой, как Ада. Ну и кто этим занимается.

        Как вышел профессор Некула на пенсию, так и заглохло всё с CCured.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое