Microsoft попросила включити її в закриту групу інформаційної безпеки Linux

Linux – відкрите програмне забезпечення, так що внесок в систему і її в компоненти може внести практично кожен розробник. Але є і виключення – це закрита група розробників, які обмінюються інформацією про уразливість Linux, включаючи і ті, що поки невідомі широкій громадськості. Просто так в цю групу потрапити не можна – за нового розробника повинен поручитися член групи.

Днями корпорація Microsoft попросила додати кількох її співробітників в цю групу. До слова, її членами є Canonical, Debian, Red Hat, Chrome OS, Amazon Web Services (AWS), Oracle і SUSE. Компанія подала заявку на включення її не в одне, а відразу в два співтовариства. Перше – те, де обговорюються недавно виявлені вразливості, інформація про яких ще не поширилася, і друге – те, розробники якого виправляють вже відомі проблеми з безпекою.

Компанії це потрібно для того, щоб своєчасно дізнаватися про проблеми та виправляти їх у власних продуктах. Як правило, обговорення вразливостей триває від тижня до двох. Після цього інформація публікується у відкритому доступі.

Саша Левін, головний розробник ядра Linux в Microsoft заявив, що після включення в обидві групи у компанії буде досить часу для тестування патчів. Розробники Microsoft можуть створити патч для виправлення відомої вразливості всього за кілька годин, але корпорація хотіла б виправляти проблеми ще до того, як про них стає відомо.

Зараз у корпорації три напрямки роботи з продуктами, заснованими на Linux. Перше – Azure Sphere. Це операційна система на базі ядра Linux, створена Microsoft для IoT-додатків. Друге – Windows Subsystem for Linux (WSL) (друга версія). Цей продукт призначений для запуску бінарників ELF64 Linux в середовищі Windows. Третє – Azure HDInsight і Azure Kubernetes Service.

За словами Левіна, корпорація, після включення її в зазначені вище групи, зможе якісно тестувати патчі перш, ніж викладати їх в загальний доступ. Розробники отримають додатковий час для проведення необхідних перевірок.

Для того, щоб компанію включили в список, вона повинна відповідати ряду критеріїв і вимог. Головне – у неї повинна бути призначена для користувача база Linux, в яку входять не тільки представники самої організації. На думку компанії, оскільки ядро ​​Linux входить в її дистрибутиви, то користувачами Linux-продуктів корпорації є мільйони людей.

Ще одна умова – досвід роботи тривалістю в рік над вирішенням проблем з уразливостями в Linux, а також можливість випускати патчі частіше, ніж раз в десять днів. Плюс до всього, як вже говорилося вище, має бути людина або компанія, які доручать за новачка. За Microsoft і Левіна вже поручилися – це зробив розробник ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman).

Джерело: habr.com