Организация Linux Foundation представила на конференции LinuxCon новую программу, направленную на повышение качества, стабильности и безопасности Open Source-проектов. Программа будет развиваться в рамках инициативы Core Infrastructure Initiative (CII), запущенной в прошлом году после обнаружения уязвимости Heardbleed.
ПО с открытым кодом составляет основу большинства современных онлайновых сервисов. Но за популярность приходится платить. Открытый софт привлекает все больше внимания хакеров, которые ищут в коде слабые места и готовят атаки. Без выделенной команды специалистов по безопасности поиск уязвимостей и латания дыр в защите Open Source-системах становится трудным и дорогостоящим процессом.
Для решения этой проблемы консорциум CII запустил программу, по которой Open Source-проекты, использующие в процессе разработки рекомендованные практики обеспечения стабильности и безопасности, смогут получать специальный знак (badge). Предполагается, что этот знак позволит заказчикам определять те Open Source-проекты, которые ставят вопросы защиты на первый план. Участие в программе добровольное.
Предварительный вариант новой программы опубликован на сайте GitHub. Инициаторы предлагают участникам сообщества Open Source поделиться своими соображениями относительно того, каким требованиям должны отвечать проекты, чтобы получить знак безопасности.
Критерии, перечисленные в предварительном варианте программы, включают, в частности, возможность проверки кода коллегами, наличие средств контроля за изменениями и автоматизированных средств тестирования, проверяющих код на известные уязвимости.
Раньше внимание CII было больше направлено на выявление тех Open Source-систем, которые с одной стороны находятся в основе многих интернет-проектов, а с другой — плохо поддерживаются и недофинансируются. В новой программы присуждения знаков безопасности используется другой подход, который фокусируется не на существующих проблемах, а на том, чтобы предотвратить появление в будущем нового поколения проблем.
Идея программы состоит в том, чтобы разработчики Open Source-проектов, которые отвечают определенным критериям, могли добровольно и самостоятельно провести их сертификацию и затем показывать соответствующий знак.
Одни критерии являются простыми и очевидными. Например, у проекта должны быть стабильный веб-сайт на базе https, а не http, репозиторий с контролем версий и отслеживанием внесенных изменений, налажен процесс публикации отчетов об ошибках и сбора информации об ошибках и т. д.
Другие критерии, связанные с безопасностью, являются более строгими и обязательными. Например, необходимо, чтобы у кода была защита от интернет-атак с перехватом канала связи (man-in-the-middle), а для защиты публичных ключей рекомендуется использовать цифровую подпись.
Информацию об обнаруженных уязвимостях должен получать глава проекта, а первый ответ на эту информацию нужно предоставить не позднее, чем через семь дней. Это требование направлено на то, чтобы исключить повторение ситуаций, когда серьезные и известные уязвимости оставались без заплат в течение двух и больше месяцев. В предварительном варианте программы не указывается точный срок выпуска заплаты после обнаружения дыры. Этот вопрос является темой для обсуждения.
Представители Linux Foundation надеются, что сообщество Open Source примет активное участие в этой программе, и будет не только влиять на ее содержание, но и осознает, насколько важно разработчикам иметь возможность быстро оценить состояние кода, от которого зависит весь их проект.