Google invierte en desarrolladores de kernel de Linux para centrarse …



Google financiará a dos desarrolladores de kernel de Linux a tiempo completo para mantener y mejorar la seguridad de Linux a largo plazo.

Google y la Fundación Linux han anunciado planes para financiar a dos mantenedores de tiempo completo para que se centren exclusivamente en el desarrollo de seguridad del kernel de Linux. Gustavo Silva y Nathan Chancellor, ambos contribuyentes activos de Linux, trabajarán para fortalecer la seguridad del kernel y los proyectos asociados.

Su objetivo es hacer que el sistema operativo generalizado sea más sostenible, ya que las investigaciones indican la necesidad de mejorar la seguridad del software program de código abierto, específicamente en Linux. A reporte de la Fundación de Seguridad de Código Abierto de la Fundación Linux (OpenSSF) y el Laboratorio de Ciencia de la Innovación de la Universidad de Harvard (LISH) encontraron una falta de esfuerzos de seguridad en el software package de código abierto.

Vale la pena señalar que Linux tiene más de 20,000 contribuyentes y 1 millón de confirmaciones a agosto de 2020. Pero si bien hay miles de desarrolladores de Linux, la contribución de Google para suscribir dos mantenedores de seguridad de Linux a tiempo completo indica el papel más importante que desempeñará la seguridad en su futuro. La compañía también espera que esta iniciativa motive a otras organizaciones a contribuir.

«La seguridad de la cadena de suministro y la seguridad de código abierto son fundamentales», dice Dan Lorenc, ingeniero de application de Google. «Muchas empresas lo saben ahora y quieren ayudar, pero en realidad no saben cómo … estamos tratando de hablar de ello ahora y mostrarle a la gente cómo lo estamos haciendo, para que puedan animarse, inspirarse y también piensen en otras formas en que ellos puedan ayudar «.

Lorenc ve dos componentes clave en el tema de la seguridad del computer software de código abierto. Uno es el hecho de que proviene de personas de todo el mundo, algunas de las cuales pueden ser maliciosas o tener malas intenciones, un problema inherente a la seguridad de código abierto. La otra es su computer software, y todo el computer software tiene fallas, ya sean intencionales o no, que deben corregirse.

«El hecho de que ese no sea su código no significa que no haya errores», agrega Lorenc. «Ese es un concepto erróneo que muchas empresas están empezando a darse cuenta». Estos dos factores, combinados con el aumento de personas que utilizan software de código abierto, están impulsando la seguridad como una prioridad.

Linux, que se ha convertido en una parte más importante de la cadena de suministro y de los sistemas empresariales clave, también se ha convertido en un objetivo atractivo para los atacantes avanzados. El fortalecimiento del kernel de Linux será un paso clave para proteger el software program de código abierto tanto de los ciberdelincuentes como de las amenazas avanzadas.

Chancellor, uno de los dos desarrolladores que asumen este rol, ha estado trabajando en el kernel de Linux durante cuatro años y medio. Hace dos años, comenzó a contribuir a la línea principal de Linux bajo el proyecto ClangBuiltLinux, una iniciativa para lograr la construcción del kernel de Linux con las herramientas de compilación Clang y LLVM. Chancellor espera que más personas comiencen a usar el proyecto de infraestructura del compilador LLVM y contribuyan con correcciones tanto para eso como para el kernel, ya que «contribuirá en gran medida a mejorar la seguridad de Linux para todos», dijo. en una oracion.

Silva comenzó a trabajar en el kernel como parte de la Iniciativa de infraestructura central de la Fundación Linux, un programa en el que los desarrolladores más jóvenes son asesorados por ingenieros que trabajan en el kernel. Ahora su trabajo de seguridad a tiempo completo se centra en eliminar varias clases de desbordamientos de búfer. También está trabajando para corregir vulnerabilidades antes de que lleguen a la línea principal y desarrollar mecanismos de defensa que eliminen clases enteras de vulnerabilidades. Silva presentó su primer parche de kernel en 2010 y ha estado constantemente entre los cinco desarrolladores de kernel más activos desde 2017.

Tanto Chancellor como Silva dependen de David Wheeler, director de seguridad de la cadena de suministro de código abierto de la Fundación Linux.

La noticia de hoy es el resultado de varias piezas desafiantes que encajan en su lugar. Puede ser difícil, dice Lorenc, encontrar la financiación adecuada, encontrar personas que puedan asumir proyectos como estos y encontrar proyectos como el kernel de Linux, que hace un buen trabajo al incorporar nuevos contribuyentes y obtener parches para que los desarrolladores tengan cosas viables que hacer, explica.

«Es realmente una cuestión de encontrar personas dispuestas a hacer el trabajo, con personas dispuestas a guiarlos y aceptar el trabajo, y luego (hay) un trabajo importante por hacer», continúa, señalando que «hacer coincidir todo puede ser un desafío. » En este caso, Google está proporcionando la financiación, pero muchas personas que trabajan en esto ya tienen trabajos de tiempo completo y no pueden asumir estos proyectos paralelos.

En ese sentido, también puede ser difícil encontrar proyectos dispuestos a aceptar contribuciones, agrega. Muchos proyectos de código abierto, especialmente algunos de los descuidados, no tienen gente disponible para fusionar código e incorporar nuevos mantenedores. Combinar todos estos factores puede ser un desafío.

Si bien no hay planes concretos para agregar más mantenedores, Lorenc dice que están abiertos a ello.

«Vemos esto como un gran uso de la inversión, por lo que este es el tipo de cosas en las que nos encanta escalar donde podamos», agrega.

Kelly Sheridan es la editora de particular de Dark Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first