Google ve Linux Vakfı, Linux çekirdek güvenliğini geliştirmek için iki tam zamanlı güvenlikçiyi yani Gustavo Silva ve Nathan Chancellor’u çalıştıracaklar. Silva ve Chancellor, çekirdek güvenliğini ve ilgili geliştirmeler ve iyileştirmeler üzerinde çalışacaklar.
Google’un, iki tam zamanlı Linux güvenlik sağlayıcısını desteklemek için fon sağlaması, açık kaynaklı yazılımın sürdürülebilirliğinde açısından çok önemli. Google yazılım mühendisi Dan Lorenc yaptığı açıklamada şöyle dedi :
“Google’da güvenlik her zaman akılda tutulmaktadır. Açık kaynaklı yazılımın sürdürülebilirliğinde oynadığı kritik rolü anlıyoruz. Gustavo Silva ve Nathan Chancellor’ın Linux çekirdeğinin güvenliğini artırmak için çabalarını desteklemekten onur duyuyoruz.”
Linux Sisteminde 20 Binden Fazla Katkı Veren Geliştirici Var
Linux ekosisteminde ağustos 2020 rakamlarına göre 20 binden fazla katkı veren geliştirici var[1]. Yine de çoğu kişinin fikri, açık kaynak yazılım geliştirmede güvenliğin ihmal edildiği şeklinde. Yine Linux’un yaratıcısı Linus Torvalds, Linux’ta güvenliği olması gerekenden daha fazla sorun haline getiren insanları gerçekten sevmiyor. Torvalds “güvenlik sorunları sadece geliştirme hatalarından ibarettir” diyor. 2017’de kendi paha biçilemez tarzıyla bazı güvenlik geliştiricilerine “lanet olası moronlar” adını vermişti.
Linux Vakfı’nın açık kaynak tedarik zinciri güvenliği direktörü David A. Wheeler 2020 FOSS Katılımcı Anketi Raporunda şöyle dedi [1] :
“2020 bulgularına göre, katkıda bulunanlara aşırı yük binmeden güvenliği artırmak için adımlar atmamız gerektiği açıktır. “
Rapor yazarlarının önerdiği çözüm, belirli güvenlik amaçlarına para ve kaynak ayırmaktı. Bu, sürekli entegrasyon (CI) işlem hattına, güvenlik denetimlerine ve bilgi işlem kaynaklarına güvenlikle ilgili araçları eklemeyi içeriyor. Diğer bir deyişle, geliştiricilerin projelerine güvenlik eklemelerini kolaylaştırın.
Linux Vakfı’nın Açık Kaynak Güvenlik Vakfı (Open Source Security Foundation-OpenSSF) ve Harvard Geliştirme Bilimleri Laboratuarı (Laboratory for Innovation Science at Harvard – LISH) şu tavsiyelerde bulundu :
- Kritik açık kaynaklı projelerin güvenlik denetimlerini finanse edin,
- Önemli ölçüde daha güvenli bir sonuç elde etmek için güvenlik açıkları olabilecek FOSS projelerinin bölümlerini veya tüm bileşenlerini yeniden yazın (örneğin, bellek açısından güvenli bir dilde yeniden yazmaya katkıda bulunun).
- Güvenli yazılım geliştirme en iyi uygulamalarına öncelik verin.
- Şirketler, ücretli FOSS geliştiricileri için işe alma veya sürekli mesleki gelişim için güvenli yazılım geliştirme eğitimini bir gereklilik haline getirmelidir.
- Projeleri ve katkıda bulunanları güvenli yazılım geliştirme uygulamaları geliştirmeye ve sürdürmeye teşvik etmek için rozet programları, rehberlik programları ve saygın FOSS katılımcılarının etkisini kullanın.
- Projeleri, sürekli entegrasyon (CI) ardışık düzenlerinin bir parçası olarak güvenlik araçlarını ve otomatik testleri dahil etmeye teşvik edin.
Linux çekirdek güvenliğini ve geliştirmeyi finanse etmek, herkesin desteğine ihtiyaç duyan ortak bir çaba. Bu tür çalışmaları desteklemek için OpenSSF içindeki Kritik Projeleri Güvence Altına Alma Çalışma Grubunda tartışmalar yapılıyor. Katılmak isteyenlere de açık.