Quase todo o trabalho de desenvolvimento do Linux é conduzido em campo aberto. Quase. Uma das poucas exceções é quando empresas ou hackers revelam falhas de segurança não corrigidas para os desenvolvedores do Linux. Nesses casos, esses problemas são revelados pela primeira vez na lista linux-distro fechada. Agora, a Microsoft, que já criticou duramente o Linux no passado, pediu para entrar nesta lista restrita de segurança. Assim, a Microsoft quer fazer parte de uma lista que inclui desenvolvedores do FreeBSD, NetBSD e a maioria dos principais distribuidores Linux. Isso inclui empresas como Canonical, Debian, Red Hat, e SUSE além de outras como Amazon Web Services (AWS) e Oracle. Portanto, a Microsoft pede para entrar na lista privada de desenvolvedores de segurança do Linux.
Sobre a lista privada
O propósito desta lista é “relatar e discutir questões de segurança que ainda não são públicas (mas que serão divulgadas muito em breve)”. Quanto tempo? Os mantenedores da lista pedem que as falhas de segurança sejam mantidas em sigilo por no máximo 14 dias após serem reveladas ao grupo.
Por exemplo, os bugs de segurança da CPU e do Spectre da Intel não teriam sido discutidos no Linux-distros. Problemas de segurança que já são discutidos publicamente são tratados na lista de discussão OSS-Security.
Por que a Microsoft pede para entrar na lista privada de desenvolvedores de segurança do Linux?
Sasha Levin, um desenvolvedor de kernel do Microsoft Linux pediu para a Microsoft ter acesso à lista porque, em resumo, a Microsoft é um distribuidor Linux.
Especificamente, a Microsoft fornece várias construções de distribuição que não são derivadas de uma distribuição existente e baseadas em componentes de código aberto. Esses são:
- Azure Sphere: esse dispositivo IoT baseado em Linux fornece, entre várias coisas, atualizações de segurança para dispositivos IoT implantados. Como o projeto está prestes a sair da pré-visualização pública para o estágio GA, esperamos que milhões desses dispositivos sejam usados ??publicamente.
- Windows Subsystem for Linux v2: Uma distro baseada em Linux que é executada como uma máquina virtual em cima de hosts Windows. O WSL2 está atualmente disponível para visualização pública e agendado para o GA no início de 2020.
- Produtos como o Azure HDInsight e o Serviço Azure Kubernetes fornecem acesso público a uma distribuição baseada em Linux.
Além disso, Levin perguntou porque:
A Microsoft tem décadas de longo histórico lidando com questões de segurança através do MSRC. Embora possamos rapidamente (<1-2 horas) criar uma versão para resolver problemas de segurança divulgados, exigimos testes extensivos e validação antes de tornar públicos esses builds. Ser membros desta lista de discussão nos fornecerá o tempo adicional que precisamos para testes extensivos.
Tudo isso faz sentido. Além disso, Levin revelou em uma nota à discussão que:
o uso do Linux em nossa nuvem ultrapassou o Windows, como um subproduto do MSRC que começou a receber relatórios de segurança de problemas com código Linux de usuários e fornecedores. É também o caso de problemas comuns ao Windows e ao Linux (como os bugs de hardware especulativo).
Greg Kroah-Hartman, o mantenedor do kernel de branch estável do Linux, apoiou Levin:
Ele é um desenvolvedor de kernel de longa data e tem ajudado com as versões estáveis ??do kernel por alguns anos, com permissões de gravação completas para as árvores de kernel estáveis.
De fato, Kroah-Hartman sugeriu que a Microsoft se juntasse a linux-distros há um ano, quando
ficou evidente que eles estavam se tornando uma distro Linux, e é bom ver que agora eles estão fazendo isso.
Algumas pessoas ainda vêem a Microsoft como inimiga de todas as coisas relacionadas ao Linux. Porém, a Microsoft parece ser vista como um parceiro completo de desenvolvimento Linux.
Como Tyler Hicks, um engenheiro de kernel da Canonical Linux, escreveu:
Eles foram benéficos para a grande comunidade Linux e eu sinto que o envolvimento direto deles em linux-distros beneficiaria outros membros”.
Assim, é que a Microsoft pede para entrar na lista privada de desenvolvedores de segurança do Linux. Uma votação é esperada no pedido de adesão da Microsoft nos próximos dias. O mais provável, por tudo que foi exposto, é que a empresa seja admitida na lista. Por isso, a famosa frase faz cada mais sentido: a Microsoft ama o Linux.