获得报酬以提高Linux和开源安全性

Linux和开源软件比专有软件更容易保护。作为开源联合创始人Eric S。雷蒙德用莱纳斯定律指出：“只要有足够的眼球，所有的虫子都是浅的。”但要让它工作，首先需要眼球寻找虫子。Linux基金会（LF）的执行董事Jim Zemlin在Heartbleed和SealS休克安全丑闻后说：“在这些情况下，眼球并不是真的在寻找。”< < / P> > P>帮助解决这个问题，David A.。LF开源供应链安全总监惠勒（Wheeler）最近透露，LF或其相关基金会和项目直接资助人们从事安全工作。这是它的工作原理。

资金来自各种专业Linux和开源组织。这些包括谷歌、微软、开源安全基金会（OpenSSF）、LF公共健康基金会和LF本身。当发现问题时，开发人员会联系相应的LF组织。一般来说，一份简要描述需要解决什么问题、如何解决问题、所需资金以及由谁来完成工作的合同已经建立。

然后由相应的LF技术审查联络点（POC）审查提案。该POC通常是惠勒本人。

一旦您的项目获得批准，进度报告大约每月编制一次。这些内容必须包括：

公开访问的帖子（如博客或存档邮件列表帖子）的稳定URL，描述您当月所做的工作。该帖子必须简要描述自上次发票以来使用资金所完成的工作。包括其日期和详细信息的超链接。如果涉及git提交，请包含指向git提交的超链接。让技术人员更容易了解细节（例如，通过超链接）。对于不熟悉该工作的人员，还应简要说明该工作的重要性或与此类说明的链接。有些读者可能会断章取义地看你的文章。给予赞扬，类似于国家公共广播电台(e、 g.，“这项工作将<；X>；（部分）由OpenSSF、谷歌和Linux基金会资助。“感谢他人总是礼貌的。我们还希望人们能正常地考虑OSS的安全性。公开提供谁做这项工作的标识符（个人姓名、笔名或项目名称）。这简化了对工作的引用。您不需要公开您的个人姓名，尽管欢迎您这样做。

这是一个轻量级的过程。写这些报告不应该超过20分钟。你可能会发现在工作中写文章更容易。受资助的工作必须在适当的开源许可证下可用。例如，Linux的bug修复必须根据Gnu通用公共许可证版本2（GPLv2）进行许可。

POC随后将审查帖子，如果合理，则批准付款。惠勒解释说：“我们知道有时会出现问题。我们只想看到可信的努力。如果存在严重的障碍，尝试提出克服障碍的方法或提供部分/增量好处。我们需要向资助者提供信心，让他们相信我们不是在浪费他们的钱。”

那么，我们在做什么样的项目呢？惠勒列举了几个例子。其中包括：

阿尔卑斯Linux安全团队主席Ariadne Conill正在改进这个重要的容器Linux发行版的安全性。特别是，Conill改进了其漏洞处理并使其具有可复制性。例如，这导致Alpine 3.14在很长一段时间内以最低的开放漏洞数在最终版本中发布。

在重要的分布式版本控制系统Git上，David Huseby一直致力于修改Git，使其具有更灵活的加密签名基础设施。这将更容易验证软件源代码的完整性。

获得安全帮助的不仅仅是Linux相关程序。OpenBSD和OpenSSH的创始人和领导者西奥·德·拉阿德（Theo de Raadt）已获得资金，以确保OpenSSH的管道安全。OpenSSH是基于该协议的一套重要的安全Shell（ssh）网络实用程序。De Raadt还被资助帮助保护资源公钥基础设施（RPKI），它保护互联网路由协议免受攻击。

除了修复已知问题外，LF和公司还寻找我们还不知道的安全问题。这是通过开源技术改进基金（OSTIF）进行的安全审计。这些项目包括两个Linux内核安全审计。一个用于签署和密钥管理策略，另一个用于漏洞报告和修复。主题专家执行审计报告，而惠勒确保这些报告对非专家清晰，同时仍然是准确的。

展望未来，OpenSSF还致力于提高开放源码软件的总体安全性。其中包括关于如何开发安全软件和CII最佳实践徽章项目的免费课程。其他项目提高了OSS的安全性，包括sigstore，它使加密签名更加容易，并改进了软件物料清单（SBOM）。

如果你想帮助支付此类工作的费用，LF希望收到你的来信。你可以通过联系组织来帮助OpenSSF，或者，如果你愿意，你可以直接用Linux基金会自己创建一个赠款。如果您有问题，请发电子邮件至dwheeler@linuxfoundation.org. 对于数额较小的项目，比如资助特定项目，您也可以使用LFX众筹工具来资助或申请资助。

在资助安全编码和审计的业务方面遇到问题吗？你并不孤单。正如惠勒所说：“许多人和组织为了处理税收和监管的需要，很难支付个人开源软件开发人员的工资。如果这是你的问题，跟我们谈谈。LF有经验和流程来完成所有t“让专家专注于完成工作。”

AlmaLinux来到Azure云上

Internet Explorer如何击败Netscape

TikTok的母公司ByteDance加入了开放发明网络

Linux glibc安全修复程序通过注册，您同意使用条款并确认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:41

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

点击询问定制

广告服务展示