O Linux pode até não estar mais tão seguro qunto já foi no passado. No entanto, por ser de código aberto, é muito mais fácil de desenvolver algum tipo de proteção contra ameaças. O Linux e o software de código aberto são muito mais fáceis de proteger do que o software proprietário. Como o co-fundador do código aberto Eric S. Raymond apontou com a lei de Linus: “Com olhos suficientes, todos os bugs são superficiais.” Entretanto, antes de mais nada, é preciso olhar para os bugs para que funcione. Jim Zemlin, o diretor executivo da Linux Foundation (LF), disse depois dos fiascos de segurança Heartbleed e Shellshock: “Nestes casos, os olhos não estavam realmente olhando.” Então, ganhe dinheiro para melhorar o Linux e a segurança de código aberto de uma forma prática e eficiente.
Para ajudar a remediar isso, David A. Wheeler, o diretor de Segurança da Cadeia de Abastecimento de Código Aberto da LF, revelou recentemente que a LF ou suas fundações e projetos relacionados financiam diretamente as pessoas para fazerem o trabalho de segurança. É assim que funciona.
Ganhe dinheiro para melhorar o Linux e a segurança de código aberto
O financiamento vem de uma variedade de organizações pró-Linux e de código aberto. Isso inclui Google, Microsoft, Open Source Security Foundation (OpenSSF) , a fundação LF Public Health e a própria LF. Quando um problema é encontrado, um desenvolvedor entra em contato com a organização LF apropriada. De modo geral, é estabelecido um contrato que descreve resumidamente o problema que precisa ser resolvido e como isso será feito, os fundos necessários para isso e quem fará o trabalho.
A proposta é então examinada pelo ponto de contato de revisão técnica (POC) apropriado da LF. Esse POC costuma ser o próprio Wheeler.
Uma vez que seu projeto seja aprovado, relatórios de progresso são feitos aproximadamente uma vez por mês. Devem incluir:
- Um URL estável de uma postagem acessível publicamente (por exemplo, um blog ou postagem em uma lista de discussão arquivada) descrevendo o que você fez naquele mês.
- A postagem deve descrever resumidamente o que foi realizado com o financiamento desde a última fatura. Inclua sua data e hiperlinks para detalhes. Se git commits estiverem envolvidos, inclua hyperlinks para eles. Torne mais fácil para o pessoal técnico aprender os detalhes (por exemplo, por meio de hiperlinks).
- Descreva também brevemente por que este trabalho é importante ou faça um link para essa (s) descrição (ões), para alguém que não está intimamente familiarizado com ele. Alguns leitores podem ver sua postagem fora do contexto.
- Dê crédito, semelhante ao National Public Radio. (por exemplo, “Este trabalho para <X> foi [parcialmente] financiado pelo OpenSSF, Google e The Linux Foundation.”) Agradecer aos outros é sempre educado. Também queremos que as pessoas considerem o financiamento da segurança do software de fonte aberta normalmente.
- Forneça publicamente um identificador (um nome pessoal, pseudônimo ou nome do projeto) de quem está fazendo o trabalho. Isso simplifica a referência ao trabalho. Você não precisa revelar seu (s) nome (s) pessoal (s) publicamente, embora seja bem-vindo a fazê-lo.
Este é um processo leve. Não deve demorar mais de 20 minutos para escrever esses relatórios. Você pode achar mais fácil escrever sua postagem enquanto faz o trabalho. O trabalho financiado deve estar disponível sob as licenças de código aberto apropriadas. Por exemplo, as correções de bugs do Linux devem ser licenciadas sob Gnu General Public Licenses Versão 2 (GPLv2).
O POC analisará a postagem e, se parecer razoável, aprovará o pagamento. Wheeler explicou: “Entendemos que às vezes surgem problemas. Queremos apenas ver esforços confiáveis. Se houver um obstáculo sério, tente sugerir maneiras de superá-lo ou fornecer benefícios parciais / incrementais. Precisamos dar aos financiadores a confiança de que não estamos t desperdiçando seu dinheiro.”
Então, em que tipo de projetos estamos caminhando? Wheeler cita vários exemplos. Esses incluem:
Ariadne Conill, presidente da equipe de segurança da Alpine Linux, está aprimorando a segurança dessa importante distribuição de contêiner Linux. Em particular, Conill melhorou seu processamento de vulnerabilidade e o tornou reproduzível. Por exemplo, isso resultou no lançamento do Alpine 3.14 com a menor contagem de vulnerabilidades abertas na versão final em muito tempo.
No Git, o sistema vital de controle de versão distribuída, David Huseby tem trabalhado na modificação do git para ter uma infraestrutura de assinatura criptográfica muito mais flexível. Isso tornará mais fácil verificar a integridade do código-fonte do software.
Não são apenas os programas relacionados ao Linux que obtêm ajuda de segurança.
Theo de Raadt, fundador e líder do OpenBSD e OpenSSH, recebeu financiamento para proteger o encanamento do OpenSSH. OpenSSH é um conjunto importante de utilitários de rede Secure Shell (ssh) baseados no protocolo. De Raadt também foi financiado para ajudar a proteger a Resource Public Key Infrastructure (RPKI) , que protege os protocolos de roteamento da Internet contra ataques.
Além de consertar problemas conhecidos, a LF e a empresa também estão procurando por problemas de segurança que ainda não conhecemos. Isso está sendo feito com auditorias de segurança por meio do Open Source Technology Improvement Fund (OSTIF). Esses projetos incluem duas auditorias de segurança do kernel do Linux. Um para assinatura e políticas de gerenciamento de chaves e outro para relatórios e correção de vulnerabilidades. Os especialistas no assunto executam os relatórios de auditoria, enquanto Wheeler garante que esses relatórios sejam claros para os não especialistas e, ao mesmo tempo, precisos.
Olhando para o futuro, o OpenSSF também está trabalhando para melhorar a segurança geral do software de código-fonte aberto. Isso inclui cursos gratuitos sobre como desenvolver software seguro e o projeto de CII Best Practices. Outros projetos melhoram a segurança do OSS, incluindo o sigstore, que está tornando as assinaturas criptográficas muito mais fáceis e melhorando a lista de materiais de software (SBOMs).
Como participar
Se você gostaria de ajudar a pagar por este tipo de trabalho, a LF quer ouvir de você. Você pode contribuir para o OpenSSF entrando em contato com a organização ou, se preferir, pode criar uma doação diretamente com a própria Linux Foundation. Se você tiver dúvidas, envie um e-mail para Wheeler em dwheeler@linuxfoundation.org. Para quantias menores – digamos, para financiar um projeto específico – você também pode usar as ferramentas de crowdfunding da LFX para financiar ou solicitar financiamento.
Está tendo problemas com o lado comercial de financiamento de codificação e auditorias de segurança? Você não está sozinho. Como Wheeler disse: “Muitas pessoas e organizações lutam para pagar desenvolvedores individuais de software de código aberto devido à necessidade de lidar com impostos e supervisão. Se essa é a sua preocupação, fale conosco. A LF tem experiência e processos para fazer tudo isso, permitindo que especialistas concentre-se em fazer o trabalho.”
Via ZDNet