Поделиться
Microsoft попросилась в закрытый клуб разработчиков Linux
Microsoft подала заявку на присоединение к списку разработчиков Linux, участники которого обсуждают еще не раскрытые уязвимости и способы их устранения. У компании есть несколько продуктов, основанных на открытом коде Linux. Тестировать патчи для Linux приходится долго, теперь у компании будет на это дополнительное время.
Заявка Microsoft
Microsoft попросила включить ее в список разработчиков дистрибутивов Linux, которые обмениваются между собой данными о нераскрытых уязвимостях. В списке числятся Canonical, Debian, Red Hat, Chrome OS и SUSE, также в него входят облачные провайдеры Amazon Web Services (AWS) и Oracle. Microsoft уже подала заявку на вступление, пишет ресурс CloudPro.
На самом деле, Microsoft и сама создает дистрибутивы Linux, основой для которых служит открытый исходный код. Например, компания разработала ОС для устройств интернета вещей Azure Sphere, подсистему Windows для Linux v2, службы Azure HDInsight и Azure Kubernetes Service. Но в списке разработчиков дистрибутивов, имеющих доступ к закрытым данным об уязвимостях, Microsoft не состоит.
Зачем это Microsoft
Фактически, Microsoft подала заявку на вступление сразу в две группы: в мейлинг-лист, участники которого обсуждают еще не раскрытые уязвимости и способы их устранения, и в группу безопасности СПО, где обсуждаются уже известные баги.
Теперь у компании появится возможность получать данные от перечисленных разработчиков и совместно с ними работать над патчами. Обсуждение способов закрытия уязвимости в кругу разработчиков длится от 7 до 14 дней, потом информация раскрывается.
По словам главного разработчика ядра Linux в Microsoft Саши Левина (Sasha Levin), включение в список даст Microsoft дополнительное время для полноценного тестирования патчей. Сама по себе Microsoft в состоянии создать сборку для уязвимости, информация о которой уже обнародована, за один-два часа. Но на последующее тестирование и проверку требуется время, которого теперь у компании будет больше.
Условия вступления
Как сообщает Левин, тот факт, что Microsoft работает над Azure Sphere и подсистемой Windows для Linux v2, помог компании соблюсти критерии, необходимые для вступления в группу — это явилось доказательством, что Microsoft активно поддерживает UNIX-подобные ОС с открытыми компонентами.
Для утверждения заявки должны быть выполнены и другие требования: например, организация должна располагать пользовательской базой Linux, которая состоит не только из представителей самой организации. Microsoft сообщает, что соответствует этому критерию, поскольку миллионы ее клиентов используют ядро Linux через ее дистрибутивы.
Также необходим хотя бы годичный опыт ликвидации уязвимостей в Linux, включая дистрибутивы, и опыт в выпуске патчей за промежуток времени меньший, чем десять дней. Кроме того, требуется поручительство от кого-нибудь из активных и долговременных членов группы безопасности СПО. За Microsoft и лично Левина поручился разработчик ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman).
Короткая ссылка
