Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft demande à rejoindre la "Linux distribution security contacts list"
Pour être informé des problèmes qui ne sont pas encore rendus publics

Le , par Stéphane le calme

167PARTAGES

14  0 
Une fois de plus, Microsoft montre son attachement à l'écosystème Linux. Il faut dire que presque tout le travail de développement de Linux est effectué en open source. L’une des rares exceptions est lorsque des entreprises ou des hackers révèlent des failles de sécurité non corrigées aux développeurs Linux. Dans ces cas, ces problèmes sont d'abord révélés dans la liste fermée appelée « Linux distribution security contacts » ou Linux-distro. C’est ce club fermé que Microsoft a demandé à rejoindre.

Cette liste, inclut des représentants de
  • ALT Linux
  • Amazon Linux AMI
  • Arch Linux
  • Chrome OS
  • CloudLinux
  • CoreOS
  • Debian
  • Gentoo
  • Openwall
  • Oracle
  • Red Hat
  • Slackware
  • SUSE
  • Ubuntu
  • Wind River

À cette liste s'ajoutent des volontaires indépendants.

Le but de cette liste est de « signaler et discuter des problèmes de sécurité qui ne sont pas encore publics (mais qui doivent être rendus publics très bientôt) ».


Pour donner plus de précision sur le « bientôt », les personnes qui rapportent les incidents de sécurité sont priées de noter que « la période d'embargo maximale acceptable pour les envois divulgués à ces listes est de 14 jours. S'il vous plaît ne demandez pas un embargo plus long. En fait, des périodes d'embargo inférieures à 7 jours sont préférables. Veuillez informer les projets / développeurs en amont du logiciel concerné, des autres fournisseurs de distribution concernés et / ou des projets Open Source concernés avant de notifier l’une de ces listes de diffusion afin de s’assurer que ces autres parties acceptent la période d’embargo maximale qui serait appliquée (et sinon, vous devrez peut-être différer votre notification sur la liste de diffusion), à moins que vous ne décidiez d'ignorer leur préférence de toute façon et de divulguer publiquement le problème dans les meilleurs délais, conformément à la politique énoncée ici.»

En clair, les responsables de la liste demandent que les failles de sécurité ne restent pas privées plus de 14 jours après avoir été révélées au groupe.

Sasha Levin, une développeuse du noyau Microsoft Linux, a demandé à ce que Microsoft ait accès à la liste, car Microsoft est un distributeur Linux.

Plus précisément, Microsoft fournit plusieurs versions de type distribution qui ne sont pas dérivées d'une distribution existante et basées sur des composants open-source. Ceux-ci sont:
  • Azure Sphere OS : est un système d'exploitation basé sur Linux créé par Microsoft pour des applications IdO. Microsoft explique « qu’Azure Sphere réunit le meilleur de l’expertise de Microsoft dans les domaines du cloud, des logiciels et de la technologie des appareils afin de fournir une approche unique de la sécurité qui commence dans le silicium et s’étend au cloud. Ensemble, les MCU Azure Sphere, le système d'exploitation Azure Sphere et le service de sécurité Azure Sphere vous offrent la confiance nécessaire pour réinventer votre entreprise et les outils nécessaires pour créer l'avenir ». Alors que le projet est sur le point de sortir de la préversion publique pour passer à l'étape de disponibilité générale, il est possible que des millions de ces appareils soient utilisés publiquement.

  • WSL2 : WSL 2 est une nouvelle version de l’architecture qui permet au sous-système Windows pour Linux d’exécuter des fichiers binaires ELF64 Linux sous Windows. Cette nouvelle architecture, qui utilise un véritable noyau Linux, modifie la façon dont ces binaires Linux interagissent avec Windows et le matériel de votre ordinateur, tout en offrant la même expérience utilisateur que dans WSL 1 (la version actuellement disponible en version stable). WSL 2 offre des performances de système de fichiers beaucoup plus rapides et une compatibilité totale des appels système, ce qui vous permet d'exécuter davantage d'applications comme Docker ! Microsoft a publié le code source du noyau Linux léger de WSL2.
  • Des produits tels que Azure HDInsight et le service Azure Kubernetes qui fournissent un accès public à une distribution Linux.

En outre, Levin a avancé ceci aux responsables : « Microsoft a une longue expérience dans la résolution des problèmes de sécurité via MSRC [le centre de réponse de sécurité Microsoft]. Nous sommes en mesure de créer rapidement (en moins de 1 à 2 heures) une version permettant de résoudre les problèmes de sécurité révélés, nous avons besoin de tests et de validations approfondis avant de rendre publiques ces versions. Être membre de cette liste de diffusion nous donnerait le temps supplémentaire nécessaire pour effectuer des tests approfondis ».

Rejoindre la liste des développeurs permettrait donc à Microsoft de gérer son logiciel Linux aussi rapidement que les développeurs Linux, puisque la société aurait accès aux discussions et aux informations concernant les problèmes liés aux distributions Linux qui doivent encore être rendus publics. Des informations qui lui permettraient, techniquement, d’être en mesure de protéger ses clients comme s'ils utilisaient Linux de manière native.

Une décision quant à savoir si Microsoft devrait ou non rejoindre la liste des développeurs Linux sera prise dans les prochains jours.

Cependant, la société a déjà reçu le support de plusieurs développeurs Linux renommés, dont Greg Kroah-Hartman, le mainteneur du noyau de la branche stable Linux.

Bien que certaines personnes considèrent encore Microsoft comme l’ennemi de tout ce qui a trait à Linux, Microsoft semble être considéré comme un partenaire de développement Linux complet. Comme l'écrivait Tyler Hicks, ingénieur du noyau Linux Canonical qui soutient également les efforts de Microsoft dans le monde Linux : « Ils ont été bénéfiques pour la grande communauté Linux et je pense que leur implication directe dans linux-distro profiterait aux autres membres ».

Sources : demande de Microsoft, OSS-Security, Greg Kroah-Hartman, Tyler Hicks

Et vous ?

Que pensez-vous de cette décision de Microsoft ? Vous semble-t-elle logique ?
Microsoft devrait-il pouvoir rejoindre ce club privé ou non ? Pourquoi ?

Voir aussi :

Microsoft lance Threat and Vulnerability Management afin d'aider à découvrir, hiérarchiser et corriger les vulnérabilités en temps réel
Windows Server évincé par Linux sur Azure, mais cela n'aurait pas été possible sans la volonté de Microsoft
Microsoft explique que la base de registre système n'est plus sauvegardée dans le dossier RegBack, depuis Windows 10 version 1803
Microsoft publie le code source du noyau Linux léger utilisé dans WSL2 sous licence GPL version 2

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 08/07/2019 à 9:26
Citation Envoyé par niuxe Voir le message
https://www.theregister.co.uk/2001/0...x_is_a_cancer/ ==> Ballmer t'a beau être riche avec ta passoire, fuck off !
T'es au courant que Balmer a quitté MS et s'est payé une équipe de basket ? Quoi qu'il ait pu dire par le passé, il n'a plus son mot à dire sur la politique de microsoft.

Cela dit, bien entendu que cette incursion dans l'open source est intéressée... Ils font cloud, après tout, et les serveurs linux sont les plus demandés. Et accessoirement, ça leur permet de se refaire une image plus cool (enfin, moins "evil" auprès des communautés de développeurs.
2  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 06/07/2019 à 19:18
Mouais. Je sais pas. J'ai envie de dire que c'est cool mais j'ai l'impression que y a une douille quelque part.
1  0 
Avatar de Engiwip
Membre habitué https://www.developpez.com
Le 06/07/2019 à 22:38
Je trouve ça super que Microsoft rentre un peu plus dans le partage d information et l opensource.

Ils vont amener leur réactivité et leur process

Depuis que Microsoft joue le jeu de l open source je trouve leurs différentes initiatives bienvenues

Typescript pour enrichir JS , VSCode pour un dev léger , WSL pour installer des outils debian sous Windows.
Chocolatey , Nuget pour la gestion des packages

En plus ils hébergent les pages indexées de Qwant sur Azure.Windows 10 est plutot stable...

Quoiqu on dise C est vraiment pas mal.
2  1 
Avatar de niuxe
Membre du Club https://www.developpez.com
Le 07/07/2019 à 21:45


pour rappel :
https://www.theregister.co.uk/2001/0...x_is_a_cancer/ ==> Ballmer t'a beau être riche avec ta passoire, fuck off !
1  1 
Avatar de niuxe
Membre du Club https://www.developpez.com
Le 08/07/2019 à 13:55
Citation Envoyé par DevTroglodyte Voir le message
T'es au courant que Balmer a quitté MS et s'est payé une équipe de basket ? Quoi qu'il ait pu dire par le passé, il n'a plus son mot à dire sur la politique de microsoft.
Bien sûr que je suis au courant. Il laisse tout de même une trace indélébile sur la politique de vente de Microsoft.

Citation Envoyé par DevTroglodyte Voir le message
Cela dit, bien entendu que cette incursion dans l'open source est intéressée... Ils font cloud, après tout, et les serveurs linux sont les plus demandés. Et accessoirement, ça leur permet de se refaire une image plus cool (enfin, moins "evil" auprès des communautés de développeurs.
à mes yeux, ils veulent balayer GNU/Linux (le vilain petit canard gêneur) afin de vendre plus facilement leurs produits pour les pros (et bien sûr avoir la suprématie) Microsoft prend le même chemin qu'IBM....
0  2