Cette liste, inclut des représentants de
- ALT Linux
- Amazon Linux AMI
- Arch Linux
- Chrome OS
- CloudLinux
- CoreOS
- Debian
- Gentoo
- Openwall
- Oracle
- Red Hat
- Slackware
- SUSE
- Ubuntu
- Wind River
À cette liste s'ajoutent des volontaires indépendants.
Le but de cette liste est de « signaler et discuter des problèmes de sécurité qui ne sont pas encore publics (mais qui doivent être rendus publics très bientôt) ».
Pour donner plus de précision sur le « bientôt », les personnes qui rapportent les incidents de sécurité sont priées de noter que « la période d'embargo maximale acceptable pour les envois divulgués à ces listes est de 14 jours. S'il vous plaît ne demandez pas un embargo plus long. En fait, des périodes d'embargo inférieures à 7 jours sont préférables. Veuillez informer les projets / développeurs en amont du logiciel concerné, des autres fournisseurs de distribution concernés et / ou des projets Open Source concernés avant de notifier l’une de ces listes de diffusion afin de s’assurer que ces autres parties acceptent la période d’embargo maximale qui serait appliquée (et sinon, vous devrez peut-être différer votre notification sur la liste de diffusion), à moins que vous ne décidiez d'ignorer leur préférence de toute façon et de divulguer publiquement le problème dans les meilleurs délais, conformément à la politique énoncée ici.»
En clair, les responsables de la liste demandent que les failles de sécurité ne restent pas privées plus de 14 jours après avoir été révélées au groupe.
Sasha Levin, une développeuse du noyau Microsoft Linux, a demandé à ce que Microsoft ait accès à la liste, car Microsoft est un distributeur Linux.
Plus précisément, Microsoft fournit plusieurs versions de type distribution qui ne sont pas dérivées d'une distribution existante et basées sur des composants open-source. Ceux-ci sont:
- Azure Sphere OS : est un système d'exploitation basé sur Linux créé par Microsoft pour des applications IdO. Microsoft explique « qu’Azure Sphere réunit le meilleur de l’expertise de Microsoft dans les domaines du cloud, des logiciels et de la technologie des appareils afin de fournir une approche unique de la sécurité qui commence dans le silicium et s’étend au cloud. Ensemble, les MCU Azure Sphere, le système d'exploitation Azure Sphere et le service de sécurité Azure Sphere vous offrent la confiance nécessaire pour réinventer votre entreprise et les outils nécessaires pour créer l'avenir ». Alors que le projet est sur le point de sortir de la préversion publique pour passer à l'étape de disponibilité générale, il est possible que des millions de ces appareils soient utilisés publiquement.
- WSL2 : WSL 2 est une nouvelle version de l’architecture qui permet au sous-système Windows pour Linux d’exécuter des fichiers binaires ELF64 Linux sous Windows. Cette nouvelle architecture, qui utilise un véritable noyau Linux, modifie la façon dont ces binaires Linux interagissent avec Windows et le matériel de votre ordinateur, tout en offrant la même expérience utilisateur que dans WSL 1 (la version actuellement disponible en version stable). WSL 2 offre des performances de système de fichiers beaucoup plus rapides et une compatibilité totale des appels système, ce qui vous permet d'exécuter davantage d'applications comme Docker ! Microsoft a publié le code source du noyau Linux léger de WSL2.
- Des produits tels que Azure HDInsight et le service Azure Kubernetes qui fournissent un accès public à une distribution Linux.
En outre, Levin a avancé ceci aux responsables : « Microsoft a une longue expérience dans la résolution des problèmes de sécurité via MSRC [le centre de réponse de sécurité Microsoft]. Nous sommes en mesure de créer rapidement (en moins de 1 à 2 heures) une version permettant de résoudre les problèmes de sécurité révélés, nous avons besoin de tests et de validations approfondis avant de rendre publiques ces versions. Être membre de cette liste de diffusion nous donnerait le temps supplémentaire nécessaire pour effectuer des tests approfondis ».
Rejoindre la liste des développeurs permettrait donc à Microsoft de gérer son logiciel Linux aussi rapidement que les développeurs Linux, puisque la société aurait accès aux discussions et aux informations concernant les problèmes liés aux distributions Linux qui doivent encore être rendus publics. Des informations qui lui permettraient, techniquement, d’être en mesure de protéger ses clients comme s'ils utilisaient Linux de manière native.
Une décision quant à savoir si Microsoft devrait ou non rejoindre la liste des développeurs Linux sera prise dans les prochains jours.
Cependant, la société a déjà reçu le support de plusieurs développeurs Linux renommés, dont Greg Kroah-Hartman, le mainteneur du noyau de la branche stable Linux.
Bien que certaines personnes considèrent encore Microsoft comme l’ennemi de tout ce qui a trait à Linux, Microsoft semble être considéré comme un partenaire de développement Linux complet. Comme l'écrivait Tyler Hicks, ingénieur du noyau Linux Canonical qui soutient également les efforts de Microsoft dans le monde Linux : « Ils ont été bénéfiques pour la grande communauté Linux et je pense que leur implication directe dans linux-distro profiterait aux autres membres ».
Sources : demande de Microsoft, OSS-Security, Greg Kroah-Hartman, Tyler Hicks
Et vous ?
Que pensez-vous de cette décision de Microsoft ? Vous semble-t-elle logique ?
Microsoft devrait-il pouvoir rejoindre ce club privé ou non ? Pourquoi ?
Voir aussi :
Microsoft lance Threat and Vulnerability Management afin d'aider à découvrir, hiérarchiser et corriger les vulnérabilités en temps réel
Windows Server évincé par Linux sur Azure, mais cela n'aurait pas été possible sans la volonté de Microsoft
Microsoft explique que la base de registre système n'est plus sauvegardée dans le dossier RegBack, depuis Windows 10 version 1803
Microsoft publie le code source du noyau Linux léger utilisé dans WSL2 sous licence GPL version 2