Google e la Linux Foundation hanno a cuore la sicurezza del kernel. A dimostrazione di ciò hanno deciso di tirare fuori i soldi per assumere due manutentori a tempo pieno che garantiscano una maggiore attenzione sulla sicurezza. Gustavo Silva e Nathan Chancellor si concentreranno sul mantenimento e sul miglioramento della sicurezza del kernel al fine di garantire che il progetto sia sostenibile per i decenni a venire.
Linux, l’assenza di manutentori è un problema serio
Un sondaggio tra i contributori open source pubblicato di recente dalla Open Source Security Foundation (OpenSSF) e dal Laboratory for Innovation Science di Harvard (LISH) ha identificato la necessità di ulteriore lavoro sulla sicurezza nel software open source. A conferma di quanto emerso, mi permetto di ricordare le parole di Greg Kroah-Hartman. Il mantainer del kernel e amico di Linus Torvalds recentemente ha dichiarato che l’assenza di mantainer è il vero problema del kernel. Hartman sostiene di dover revisionare oltre 700 patch a settimana: “questo è il nostro collo di bottiglia in questo momento”. A tanti piace sviluppare il codice ma ben pochi amano revisionare le modifiche altrui.
Il nostro principale collo di bottiglia sono i manutentori. È la revisione del codice.
Anche se sono migliaia le persone coinvolte nello sviluppo del kernel Linux, questo contributo di Google per la sottoscrizione di due manutentori di sicurezza Linux a tempo pieno segnala l’importanza della sicurezza nella sostenibilità del software open source.
In Google, la sicurezza è sempre al primo posto, e comprendiamo il ruolo fondamentale che svolge per la sostenibilità del software open source.
queste le parole di Dan Lorenc, ingegnere software dello staff di Google.
Siamo onorati di supportare gli sforzi di Gustavo Silva e Nathan Chancellor mentre lavorano per migliorare la sicurezza del kernel Linux.
Il lavoro di Chancellor si concentrerà sulla verifica e la correzione di tutti i bug trovati con i compilatori Clang / LLVM. Una volta che questi obiettivi sono ben definiti, ha in programma di iniziare ad aggiungere funzionalità e perfezionare il kernel utilizzando queste tecnologie di compilazione. Ha già lavorato sul kernel Linux per quattro anni e mezzo.
Il lavoro di Silva invece sarà dedicato all’eliminazione di diverse classi di buffer overflow. Inoltre, si sta attivamente concentrando sulla correzione di bug, sviluppando anche in modo proattivo meccanismi di difesa che tagliano intere classi di vulnerabilità.
Stiamo lavorando per creare un kernel di alta qualità che sia affidabile, robusto e sempre più resistente agli attacchi.
queste le parole di Silva.
Attraverso questi sforzi, ci auguriamo che le persone, in particolare i manutentori, riconoscano l’importanza di adottare modifiche che renderanno il loro codice meno incline a errori comuni.
Per supportare un lavoro come questo, sono in corso discussioni nel gruppo di lavoro sui progetti critici sulla sicurezza di OpenSSF.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.