Nasza strona używa cookies. Korzystając ze strony, wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Rozumiem

Google wspiera finansowo security Linuksa. Bezinteresownie?

Google i Linux Foundation chcą wesprzeć finansowo dwóch developerów pracujących nad bezpieczeństwem systemu Linusa Torvaldsa.
Google wspiera finansowo security Linuksa. Bezinteresownie?

Google i Linux Foundation podzielili się swoimi planami dotyczącymi długoterminowej poprawy bezpieczeństwa w systemie operacyjnym Linusa Torvaldsa. Częścią planu jest wsparcie pracy dwóch długoletnich maintenerów Linuksa poprzez zapewnienie im odpowiednich funduszy. Gustavo Silva oraz Nathan Chancellor (bo tak się nazywają) będą się od teraz mogli skupić się na tym, aby Linux stał się jeszcze bezpieczniejszy. 

Cała ta inicjatywa jest wynikiem badania przeprowadzonego przez Open Source Security Foundation (OpenSSF), czyli forum do międzynarodowej współpracy w celu poprawy bezpieczeństwa oprogramowania typu open source, oraz Laboratory for Innovation Science na Harvardzie (LISH) - badanie to wykazało, że bezpieczeństwo Linuxa wymaga jeszcze trochę dodatkowej pracy.

Zobaczmy, jak dokładnie wyglądają niektóre inne sugestie OpenSSF oraz LISH:

  • Finansowanie audytów bezpieczeństwa kluczowych projektów open source i wymaganie, aby audyty przyniosły określone, możliwe do scalenia zmiany
  • Najlepsze praktyki w zakresie tworzenia bezpiecznego oprogramowania jako główny priorytet
  • Zachęcanie inżynierów, aby projekty miały narzędzia bezpieczeństwa i testy automatyczne jako część potoku CI; idealnie by było, gdyby powyższe było częścią ich domyślnej platformy zarządzania kodem.


Te wszystkie sugestie i tak pewnie nie wynikają z takich problemów, jakie ma Windows - w systemie Microsoftu jakaś poważna luka zdarza się często co tydzień. A Linux, pomimo tego, że jest bardzo bezpiecznym OSem, to nie spoczywa na laurach i chce być jeszcze lepszy - nic dziwnego, że Google na niego postawiło. 


Nad czym pracują

Nathan Chancellor będzie się głównie zajmował segregowaniem i naprawianiem wszystkich bugów w Clang/LLVM, rozwijając jednocześnie systemy CI obsługujące narzędzia kompilacyjne Clang i LLVM.

Praca Gustavo Silvy obejmuje eliminowanie klas przepełnień bufora poprzez przekształcenie wszystkich instancji tablic o zerowej długości i tych jednoelementowych w składowe tablic elastycznych, co jest preferowanym i najmniej podatnym na błędy mechanizmem deklarowania takich typów o zmiennej długości.

Zastanówmy się teraz, jaki Google ma w tym wszystkim interes. Zobaczmy, co mówią sami zainteresowani.


Dlaczego Linux

Dan Lorenc, staff software engineer w Google, mówi, że w jego firmie bezpieczeństwo jest zawsze głównym priorytetem. Twierdzi on również, że Google rozumie, iż bezpieczeństwo odgrywa kluczową rolę w utrzymywaniu oprogramowania typu open-source. Tak naprawdę to firma z Mountain View ma masę własnych projektów open-source, więc postawienie w tym wszystkim na Linuksa jak najbardziej ma sens.

Linux ma obecnie ponad 20 000 kontrybutorów i milion commitów. Społeczność Linuksa trochę inaczej podchodzi do kwestii bezpieczeństwa. Zobaczmy, co w tej kwestii mówi sam Linus Torvalds.


Torvalds o bezpieczeństwie

Linus Torvalds wręcz nie przepada za ludźmi, którzy robią z pracy nad bezpieczeństwem coś bardziej istotnego, niż w rzeczywistości jest - w 2017 określił on niektórych devów pracujących nad bezpieczeństwem bardzo kolorowym epitetem, którego nie wypada tutaj przytoczyć. Z drugiej jednak strony daje on też pewne wskazówki dotyczące pracy nad bezpieczeństwem.

Fiński programista twierdzi, że problemy z bezpieczeństwem to po prostu bugi - jedyny proces, jakim jest zainteresowany to software development, a w nim właśnie znajduje się te wszystkie błędy i się je naprawia. Dodał on też kiedyś, że bezpieczeństwo jest dla niego jak najbardziej ważne, ale nie ważniejsze od całej reszty aspektów tworzenia oprogramowania.

Tak czy siak, jego słowa mają sens - security to po prostu kolejna rzecz, które może wymagać tyle samo uwagi, ile wymagają inne rzeczy.

Dodaje on również, że branża związana z bezpieczeństwem oprogramowania ma obsesję na punkcie rozmaitych bugów i stara się robić z nich coś niesamowicie istotnego. A prawda jest taka, że błędy to nieodłączna część software developmentu.

Rozpocznij dyskusję

Lubisz dzielić się wiedzą i chcesz zostać autorem?

Podziel się wiedzą z 160 tysiącami naszych czytelników

Dowiedz się więcej

Zobacz jakie firmy chcą Ci płacić więcej.

Ile teraz zarabiasz?

Podpowiedzieliśmy już razy.

Mamy ponad 1200 ofert pracy. Zobacz o ile więcej możesz zarabiać. » [zamknij]