février 24, 2021

Google finance les développeurs du noyau Linux pour qu’ils travaillent exclusivement sur la sécurité

Par andy1712


Il ne se passe presque pas une semaine sans qu’un autre problème majeur de sécurité Windows n’apparaisse, tandis que les problèmes de sécurité Linux, examinés de près, se révèlent généralement être des erreurs commises par une administration système incompétente. Mais Linux ne peut pas se reposer sur ses lauriers. Il existe de réels problèmes de sécurité Linux qui doivent être résolus. C’est là que Google et le Fondation Linux venez avec un nouveau plan pour souscrire à deux mainteneurs à plein temps pour le développement de la sécurité du noyau Linux, Gustavo Silva et Nathan Chancellor.

L’objectif exclusif de Silva et Chancellor sera de maintenir et d’améliorer la sécurité du noyau et les initiatives associées pour assurer la sécurité de Linux. Il y a certainement du travail à faire.

Comme la Fondation Linux Open Source Security Foundation (OpenSSF) et le Laboratoire de science de l’innovation à Harvard (LISH) trouvé dans son enquête sur les contributeurs open source, la sécurité est souvent négligée dans le développement de logiciels open source. True Linux compte plus de 20000 contributeurs et, en août 2020, un million de commits, mais la sécurité n’est pas l’un de leurs principaux problèmes.

Malheureusement, cela commence par le haut. Linus Torvalds, le créateur de Linux, n’aime vraiment pas les gens qui font de l’amélioration de la sécurité sous Linux plus de problèmes que nécessaire. En 2017, dans son propre style inestimable, il a qualifié certains développeurs de sécurité de «f-cking crétins». Mais Torvalds, bien que souvent coloré, a également orienté les programmeurs de sécurité.

Du point de vue de Torvalds, “Les problèmes de sécurité ne sont que des bogues.… Le seul processus qui m’intéresse est le processus de _development_, où nous trouvons des bogues et les corrigeons.” Ou, comme Torvalds l’a dit en 2008, “Pour moi, la sécurité est importante. Mais ce n’est pas moins important que tout * le reste * qui est également important!”

Torvalds n’est pas le seul à le voir de cette façon. Jason A. Donenfeld, créateur de Linux’s Wireguard Virtual Private Network (VPN), a déclaré sur le Liste de diffusion du noyau Linux (LKML) cette “certains responsables de la sécurité se moquent de l’obsession des autres responsables de la sécurité pour les. ‘”

Il a ajouté: «L’industrie de la sécurité est largement obsédée par la recherche (et la vente / l’utilisation / l’application de correctifs / la création de rapports / la présentation / le stockage / la détection / le vol) de ces bogues« dangereux / utiles ». Et cette obsession est continuellement satisfaite parce que les bogues continuent de se produire. – ce qui est juste la nature du développement logiciel – et ainsi cet engouement pour les «bogues de sécurité» continue. “

Alors que Torvalds et Donenfeld reconnaissent l’importance de la sécurisation de Linux, trop de développeurs entendent leur dédain pour les chercheurs en sécurité tout en manquant qu’ils considèrent tous les deux la résolution de bogues de sécurité réels comme un travail nécessaire. Le résultat? En moyenne, les programmeurs open source n’utilisent que 2,27% de leur temps de contribution total sur la sécurité. Pire encore, la plupart des développeurs open source ne ressentent guère le désir de consacrer plus de temps et d’efforts à la sécurité.

Comme l’a dit David A. Wheeler, directeur de la sécurité de la chaîne d’approvisionnement open-source de la Linux Foundation, dans le Rapport sur l’enquête 2020 auprès des contributeurs FOSS: “Il ressort clairement des conclusions de 2020 que nous devons prendre des mesures pour améliorer la sécurité sans surcharger les contributeurs.”

La solution, suggèrent les auteurs du rapport, consiste à consacrer de l’argent et des ressources à des fins de sécurité spécifiques. Cela comprend l’ajout d’outils liés à la sécurité au pipeline d’intégration continue (CI), les audits de sécurité et les ressources informatiques. En d’autres termes, il est plus facile pour les développeurs d’ajouter de la sécurité à leurs projets.

Plus précisément, OpenSSF et LISH ont suggéré:

  1. Financer les audits de sécurité de projets open source critiques et exiger que les audits produisent des changements spécifiques et fusionnables.
  2. Réécrire des parties ou des composants entiers de projets FOSS sujets à des vulnérabilités pour produire un résultat beaucoup plus sûr (par exemple, contribuer à une réécriture dans un langage sûr pour la mémoire).
  3. Donner la priorité aux meilleures pratiques de développement de logiciels sécurisés.
  4. Les entreprises devraient faire de la formation au développement de logiciels sécurisés une exigence pour l’embauche ou le développement professionnel continu de leurs développeurs de logiciels libres rémunérés.
  5. Utilisez des programmes de badges, des programmes de mentorat et l’influence de contributeurs FOSS respectés pour encourager les projets et leurs contributeurs à développer et à maintenir des pratiques de développement de logiciels sécurisées.
  6. Encourager les projets à intégrer des outils de sécurité et des tests automatisés dans le cadre de leur pipeline d’intégration continue (CI); idéalement dans le cadre de leur plateforme de gestion de code par défaut.

Le fait que Google fournisse des fonds pour souscrire à deux responsables de la sécurité Linux à plein temps signale l’importance de la sécurité dans la durabilité continue des logiciels open source. «Chez Google, la sécurité est toujours une priorité et nous comprenons le rôle essentiel qu’elle joue pour la durabilité des logiciels open source», a déclaré Dan Lorenc, ingénieur logiciel chez Google, dans un communiqué. “Nous sommes honorés de soutenir les efforts de Gustavo Silva et de Nathan Chancellor alors qu’ils travaillent pour améliorer la sécurité du noyau Linux.”

Le travail du chancelier sera axé sur le tri et la correction de tous les bogues trouvés avec Clang / LLVM compilateurs tout en travaillant à la mise en place de systèmes CI pour soutenir Bruit et LLVM outils de compilation. Il y a deux ans, Chancellor a commencé à contribuer à Linux principal sous le Projet ClangBuiltLinux, qui est un effort collaboratif pour obtenir la construction du noyau Linux avec Clang et LLVM.

Le noyau Linux a toujours été compilé avec des chaînes d’outils GNU telles que GCC et binutils. Les utilitaires Clang et LLVM plus modernes permettent aux développeurs de créer des versions plus propres et plus sécurisées. Distributions Linux telles que Android, ChromeOS, et OpenMandriva utilisent déjà les noyaux construits par Clang.

Chancellor travaille sur le noyau Linux depuis quatre ans et demi. «J’espère que de plus en plus de personnes commenceront à utiliser le projet d’infrastructure du compilateur LLVM et à apporter des correctifs à celui-ci et au noyau – cela contribuera grandement à améliorer la sécurité Linux pour tous», a déclaré le chancelier.

Le travail de sécurité Linux à plein temps de Gustavo Silva est actuellement dédié à l’élimination de plusieurs classes de débordements de tampon en transformant toutes les instances de tableaux de longueur nulle et à un élément en membres de tableau flexible, qui est le mécanisme préféré et le moins sujet aux erreurs pour déclarer de tels types de longueur variable. Silva travaille également sur la correction des bogues avant qu’ils n’atteignent la ligne principale, tout en développant de manière proactive des mécanismes de défense qui coupent des classes entières de vulnérabilités. Avant cela, Silva a mené l’effort à éliminer les interruptions implicites des commutateurs dans le noyau Linux

Silva a envoyé son premier correctif de noyau en 2010 et est un membre actif du Projet d’autoprotection du noyau (KSPP). Il est constamment l’un des cinq développeurs de noyau les plus actifs depuis 2017 avec plus de 2000 commits mainline. Le travail de Silva a eu un impact sur 27 arbres stables différents, allant jusqu’à Linux v3.16.

«Nous travaillons à la construction d’un noyau de haute qualité, fiable, robuste et plus résistant aux attaques à chaque fois», a déclaré Silva. “Grâce à ces efforts, nous espérons que les gens, les responsables en particulier, reconnaîtront l’importance d’adopter des changements qui rendront leur code moins sujet aux erreurs courantes.”

«Assurer la sécurité du noyau Linux est extrêmement important car il s’agit d’une partie essentielle de l’informatique et de l’infrastructure modernes. Cela nous oblige tous à apporter notre aide de toutes les manières possibles pour garantir une sécurité durable», a ajouté Wheeler. «Nous remercions tout particulièrement Google d’avoir souscrit au travail de développement de la sécurité du noyau Linux de Gustavo et Nathan, ainsi que tous les responsables, développeurs et organisations qui ont fait du noyau Linux un succès mondial collaboratif.»

Google a récemment mis plus de ressources derrière la sécurité pour tous les logiciels open source. La société a récemment proposé un cadre, «Know, Prevent, Fix», pour savoir comment nous pouvons penser aux vulnérabilités open source et aux domaines concrets à traiter en premier, notamment:

  • Consensus sur les métadonnées et les normes d’identité: nous avons besoin d’un consensus sur les principes fondamentaux pour aborder ces problèmes complexes en tant qu’industrie. Les accords sur les détails des métadonnées et les identités permettront l’automatisation, réduiront l’effort requis pour mettre à jour le logiciel et minimiseront l’impact des vulnérabilités.
  • Transparence et révision accrues pour les logiciels critiques: pour les logiciels critiques pour la sécurité, nous devons nous mettre d’accord sur des processus de développement qui garantissent un examen suffisant, évitent les changements unilatéraux et conduisent de manière transparente à des versions officielles bien définies et vérifiables.

Pour en revenir à Linux en particulier, le financement de la sécurité et du développement du noyau Linux est un effort collaboratif qui nécessite le soutien de tous. Pour soutenir un travail comme celui-ci, des discussions ont lieu dans le Groupe de travail Sécurisation des projets critiques à l’intérieur de l’OpenSSF. Si vous souhaitez vous impliquer dans le travail, c’est votre chance. Il n’y a pas que Google et les meilleurs développeurs Linux, tous ceux qui travaillent avec Linux doivent être impliqués.

Histoires connexes: