Google et la Linux Foundation ont annoncé leur intention de financer deux mainteneurs à plein temps qui se consacreront exclusivement au développement de la sécurité du noyau Linux. Gustavo Silva et Nathan Chancellor, tous deux contributeurs actifs à Linux, travailleront au renforcement de la maintenance et à l'amélioration de la sécurité du noyau et des initiatives associées afin de garantir la viabilité du projet de logiciel libre le plus répandu au monde pour les décennies à venir.L’objectif est de rendre le système d'exploitation omniprésent plus durable, car les recherches indiquent qu'il est nécessaire d'améliorer la sécurité des logiciels open source, en particulier sous Linux. Un rapport de l'Open Source Security Foundation (OpenSSF) de la Linux Foundation et du Laboratory for Innovation Science de l'Université de Harvard (LISH) a constaté un manque d'efforts en matière de sécurité dans les logiciels open source.
Les logiciels libres et open source (FOSS) sont devenus un élément essentiel de l'économie moderne. On estime que les logiciels libres représentent 80 à 90 % de tous les logiciels modernes, et les logiciels sont une ressource de plus en plus vitale dans presque tous les secteurs, selon la Linux Foundation.
Afin de mieux comprendre l'état de la sécurité et de la durabilité de l'écosystème des logiciels libres et open source et la manière dont les organisations et les entreprises peuvent le soutenir, l’OpenSSF et le LISH ont collaboré pour mener une vaste enquête auprès des contributeurs à ce type de logiciels dans le cadre d'efforts plus larges visant à adopter une approche préventive pour renforcer la cybersécurité en améliorant la sécurité des FOSS.
Les objectifs de cette enquête étaient de comprendre l'état de la sécurité et de la durabilité des logiciels libres et d'identifier les possibilités de les améliorer et d'assurer la viabilité des logiciels libres à l'avenir. Les résultats ont permis d'identifier des raisons d'optimisme quant à l'avenir des logiciels open source. En effet, les individus continuent de contribuer au développement de ces logiciels, les entreprises deviennent plus amicales envers ces logiciels au point de payer certains employés pour qu'ils y contribuent, etc. Mais aussi des sujets de préoccupation existent, en particulier, le manque d'efforts liés à la sécurité, et les difficultés potentielles à motiver ces efforts.
Il est à noter que Linux compte plus de 20 000 contributeurs et 1 million d'engagements en date d'août 2020. Mais alors qu'il y a des milliers de développeurs Linux, la contribution de Google à la prise en charge de deux mainteneurs de sécurité Linux à plein temps indique le rôle plus important que la sécurité jouera dans son avenir. La société espère également que cette initiative incitera d'autres organisations à contribuer.
« La sécurité de la chaîne d'approvisionnement et la sécurité des logiciels open source sont essentielles », a déclaré Dan Lorenc, ingénieur en logiciel chez Google. « Nous essayons d'en parler maintenant et de montrer aux gens comment nous le faisons, afin qu'ils puissent être encouragés et inspirés et qu'ils trouvent d'autres moyens de nous aider aussi ».
Lorenc voit deux éléments clés dans la question de la sécurité des logiciels open source. La première est le fait qu'elle émane de personnes du monde entier, dont certaines peuvent être malveillantes ou avoir de mauvaises intentions – un problème inhérent à la sécurité des logiciels open source. L'autre est le fait qu'il s'agit d'un logiciel, et que tous les logiciels ont des défauts, intentionnels ou non, qui doivent être corrigés.
« Ce n'est pas parce que le code n’est pas le vôtre qu'il n'y a pas de bogues », a ajouté Lorenc. « C'est une sorte d'idée fausse que beaucoup d'entreprises commencent maintenant à réaliser ». Ces deux facteurs, combinés à l'augmentation du nombre de personnes utilisant des logiciels open source, font de la sécurité une priorité. « Nous sommes honorés de soutenir les efforts de Gustavo Silva et de Nathan Chancellor dans leur travail pour renforcer la sécurité du noyau Linux », a-t-il ajouté.
Les responsabilités des deux mainteneurs à plein temps
Linux, qui est devenu une partie plus importante de la chaîne d'approvisionnement et des systèmes clés de l'entreprise, est également devenu une cible attrayante pour les pirates informatiques avancés. Le renforcement du noyau Linux sera une étape clé dans la protection des logiciels open source contre les cybercriminels et les menaces avancées.
Chancellor, l'un des deux développeurs qui assument ce rôle, travaille sur le noyau Linux depuis quatre ans et demi. Il y a deux ans, il a commencé à contribuer à la version principale de Linux dans le cadre du projet ClangBuiltLinux, une initiative visant à faire construire le noyau Linux avec les outils de compilation Clang et LLVM. Il se concentrera sur le tri et la correction de tous les bogues trouvés avec les compilateurs Clang/LLVM tout en travaillant à l'établissement de systèmes d'intégration continue pour soutenir ce travail à l'avenir. Une fois ces objectifs bien établis, il prévoit de commencer à ajouter des fonctionnalités et à peaufiner le noyau à l'aide de ces technologies de compilation.
Chancellor espère que davantage de personnes commenceront à utiliser le projet d'infrastructure du compilateur LLVM et contribueront aux corrections de ce dernier et du noyau, car « cela contribuera grandement à améliorer la sécurité de Linux pour tous », a-t-il déclaré dans un communiqué.
Silva a commencé à travailler sur le noyau dans le cadre de l'initiative "Core Infrastructure Initiative" de la Linux Foundation, un programme dans lequel de jeunes développeurs sont encadrés par des ingénieurs qui travaillent sur le noyau. Aujourd'hui, son travail à plein temps sur la sécurité se concentre sur la suppression de plusieurs catégories de débordements de mémoire tampon. Il travaille également à la correction des vulnérabilités avant qu'elles n'atteignent la ligne principale et au développement de mécanismes de défense qui coupent des classes entières de vulnérabilités. Silva a soumis son premier correctif pour le noyau en 2010 et figure depuis 2017 parmi les cinq premiers développeurs de noyau les plus actifs.
« Nous travaillons à la construction d'un noyau de haute qualité qui soit fiable, robuste et plus résistant aux attaques à chaque fois », a déclaré Silva. « Grâce à ces efforts, nous espérons que les gens, les mainteneurs en particulier, reconnaîtront l'importance d'adopter des changements qui rendront leur code moins sujet aux erreurs courantes ».
L'actualité de cette semaine est le résultat de la mise en place de plusieurs pièces difficiles. Selon Lorenc, il peut être difficile de trouver un financement adéquat, de trouver des personnes qui peuvent prendre en charge des projets comme ceux-ci et de trouver des projets comme le noyau Linux, qui fait un bon travail en intégrant de nouveaux contributeurs et en obtenant des correctifs afin que les développeurs aient des choses concrètes à faire, explique-t-il.
« C'est vraiment une question de trouver des gens prêts à faire le travail, avec des gens prêts à les encadrer et à accepter le travail, et puis [il y a] un travail important à faire », poursuit-il, notant que « tout mettre en place peut être difficile ». Dans ce cas, Google fournit le financement, mais de nombreuses personnes travaillant sur ce projet ont déjà un emploi à plein temps et ne peuvent pas prendre en charge ces projets parallèles.
Sur ce point, il peut également être difficile de trouver des projets prêts à accepter des contributions, ajoute-t-il. De nombreux projets open source, en particulier certains négligés, n'ont pas de personnes disponibles pour fusionner le code et intégrer de nouveaux responsables. Faire coïncider tous ces facteurs peut être un défi.
Bien qu'il n'y ait pas de plans concrets pour ajouter de nouveaux responsables, Lorenc dit qu'ils sont ouverts à cette idée. « Nous voyons cela comme une grande utilisation de l'investissement, donc c'est le genre de choses que nous aimons faire évoluer là où nous le pouvons », a-t-il ajouté.
Le financement de la sécurité et du développement du noyau Linux est un effort de collaboration, soutenu par de nombreuses organisations qui dépendent du système d'exploitation Linux. Pour soutenir un tel travail, des discussions ont lieu au sein du groupe de travail sur les projets critiques de sécurité de l'OpenSSF.
Source : Communiqué de presse de la Linux Foundation
Et vous ?
Que pensez-vous du financement des mainteneurs à plein temps pour se concentrer sur la sécurité du noyau Linux ? Quel commentaire faites-vous de la contribution de Google au financement des deux développeurs ?Voir aussi :
Les développeurs du noyau Linux discutent de la fin du support d'un certain nombre d'anciens processeurs, alors que les utilisateurs passionnés voudraient que la prise en charge soit maintenue Linux est maintenant pris en charge sur la Nintendo 64, l'annonce a été précédée par celle de Sony sur son nouveau pilote du noyau Linux pour la PlayStation 5 Noyau Linux : un correctif proposé par un employé de Huawei contient une vulnérabilité pouvant être exploitée de façon triviale, Huawei nie toute implication dans la proposition de patch Les États-Unis exhortent les utilisateurs de Linux à sécuriser les noyaux contre une nouvelle menace de malware russe, qui crée une porte dérobée et permet l'exécution de commandes en tant que root 
