Falamos aqui na semana passada sobre o pedido da Microsoft para entrar em uma lista privada de desenvolvedores do Linux. Pois bem, agora, a Microsoft é admitida na famosa lista privada de segurança para desenvolvedores Linux. Assim, a partir de agora, poderá participar das discussões privadas em torno das questões de segurança. Como sabemos, a maior parte do trabalho de desenvolvimento de código aberto é feito às claras. A exceção são os primeiros estágios do trabalho de segurança. Furos de segurança não corrigidos, no entanto, são discutidos e corrigidos a portas fechadas. Assim, agora, a Microsoft foi admitida na lista fechada de linux-distro.
Por que a Microsoft queria ser admitida na lista privada de segurança para desenvolvedores Linux
A Microsoft queria porque, embora o Windows não seja o Linux, a empresa é, na verdade, um distribuidor Linux. Sasha Levin, uma desenvolvedora de kernel do Microsoft Linux, apontou que a Microsoft possui várias construções de distribuição baseadas em componentes de código aberto. Esses são:
- Azure Sphere: esse dispositivo IoT baseado em Linux fornece, entre várias coisas, atualizações de segurança para dispositivos IoT implantados. Como o projeto está prestes a sair da pré-visualização pública para o estágio GA, esperamos que milhões desses dispositivos sejam usados ??publicamente.
- Windows Subsystem for Linux v2: Uma distro baseada em Linux que é executada como uma máquina virtual em cima de hosts Windows. A WSL2 está atualmente disponível para pré-visualização pública e programação para o GA no início de 2020.
- Produtos como o Azure HDInsight e o Serviço Azure Kubernetes fornecem acesso público a uma distribuição baseada em Linux.
Além disso, Levin perguntou, porque:
A Microsoft tem décadas de histórico de solução de problemas de segurança através do MSRC. Embora possamos rapidamente (<1-2 horas) criar uma versão para resolver problemas de segurança divulgados, exigimos testes e validação extensivos antes de tornar essas compilações públicas. Ser membros dessa lista de e-mail nos forneceria o tempo adicional necessário para testes extensivos.
Tudo isso faz sentido. Além disso, Levin revelou em uma nota de acompanhamento para a discussão:
O uso do Linux em nossa nuvem ultrapassou o Windows, pois um subproduto desse MSRC começou a receber relatórios de segurança de problemas com código Linux de usuários e fornecedores. Também é o caso de problemas comuns ao Windows e ao Linux (como esses erros de hardware especulativo).
Como David A Wheeler, especialista em segurança de código aberto, apontou, o objetivo da lista é permitir que “todos coordenem para que os usuários recebam correções”. Isso inclui usuários do Linux no Windows e no Azure. Então, ele apoiou a Microsoft na lista privada.
Greg Kroah-Hartman, o mantenedor do kernel de branch estável do Linux, apoiou Levin.
Ele é um desenvolvedor de kernel há muito tempo e tem ajudado nas versões estáveis ??do kernel há alguns anos, com permissões de gravação completas para as árvores de kernel estáveis, disse ele.
De fato, Kroah-Hartman sugeriu que a Microsoft se juntasse a linux-distros há um ano atrás – quando ficou evidente que eles estavam se tornando uma distro do Linux.
Sobre a Microsoft ser admitida na lista privada de segurança para desenvolvedores Linux
Alexander “Solar Designer” Peslyak, desenvolvedor de segurança e fundador do Openwall, anunciou que a Microsoft estaria inscrita na lista. Muitas pessoas – quase todas fora da lista – odiavam essa ideia. Na opinião deles, a Microsoft ainda é o The Evil Empire, Peslyak escreveu que era “irrelevante segundo os nossos critérios de afiliação atualmente especificados”.
Peslyak continuou:
A Microsoft não parece tão diferente de muitas outras grandes empresas, incluindo algumas que já têm suas equipes de distro Linux representadas na lista. A Microsoft tem um estigma duradouro de suas ações passadas de muito tempo atrás. IMO, não devemos deixar isso resultar em uma decisão tendenciosa contra a Microsoft atual.
Oficialmente, o Microsoft Linux Systems Group entrará na lista até 8 de agosto de 2019.
Esta lista, linux-distros, já incluía desenvolvedores do FreeBSD, NetBSD e a maioria dos principais distribuidores Linux. Isso inclui fornecedores como Canonical, Debian, Red Hat, SUSE e Linux, como Amazon Web Services (AWS) e Oracle.
O objetivo desta lista é “relatar e discutir questões de segurança que ainda não são públicas (mas que serão divulgadas muito em breve)”. Os mantenedores da lista pedem que as falhas de segurança sejam mantidas em sigilo por no máximo 14 dias. Este prazo é contado a partir da revelação ao grupo. Assim, por exemplo, os bugs de segurança do Intel da CPU, Meltdown e Spectre, não teriam sido discutidos no Linux-distros. Problemas de segurança que já são públicos são tratados na lista de discussão OSS-Security.