微软承认进入私有Linux开发者安全名单

资讯2020-07-23 13:14:10
导读大多数开源开发工作,就像名字所说的,都是在开放的情况下完成的。例外是安全工作的第一阶

大多数开源开发工作,就像名字所说的,都是在开放的情况下完成的。例外是安全工作的第一阶段。然而,未修补的安全漏洞是讨论和固定在关闭的门后。现在,微软已经被允许进入已关闭的linux-distro名单..

微软之所以想加入,是因为虽然Windows确实不是Linux,但实际上该公司是Linux的分销商。微软Linux内核开发人员萨沙·莱文(Sasha Levin)指出,微软有几个类似发行版的构建——它们不是现有发行版的衍生品——基于开源组件。它们是:

此外,列文要求加入,因为:

微软通过微软安全响应中心(MSRC)解决安全问题有着几十年的历史。虽然我们能够快速(<;1-2小时)创建一个构建来解决已披露的安全问题,但在将这些构建公之于众之前,我们需要进行广泛的测试和验证。成为此邮件列表的成员将为我们提供大量测试所需的额外时间。”

所有这些都很有道理。此外,莱文在讨论的后续说明中透露:

“我们云上的Linux使用量已经超过Windows,这是MSRC开始从用户和供应商那里接收Linux代码问题的安全报告的副产品。Windows和Linux常见的问题(就像那些猜测性的硬件错误)也是如此。”

正如开源安全专家大卫·阿·惠勒(David A Wheeler)所指出的那样,这份清单的目的是让“每个人都能进行协调,让用户得到修复。”这包括Windows和Azure上的Linux用户。因此,他支持允许微软进入私人名单。

格雷格·克罗赫-哈特曼,Linux稳定的分支内核维护者,支持莱文..他说:“他是一个长期的内核开发人员,几年来一直在帮助稳定内核发布,稳定内核树拥有完全的写入权限。

实际上,Kroah-Hartman曾“建议微软在大约一年前加入linux发行版----当时他们显然正在成为Linux发行版。”

安全开发者、开源的Open Wall安全网站的创始人亚历山大“太阳能设计师”佩斯利克(Alexander“Solar Designer”)宣布微软将被订阅该榜单。虽然有些人(几乎都不在名单上)讨厌这个想法,因为在他们看来,微软仍然是邪恶帝国,但Pelyak写道,“根据我们目前指定的会员资格标准,这是无关紧要的。”

Pelyak继续说:

微软看起来与其他许多大公司没有太大的区别,包括一些已经在名单上有他们的Linux发行版团队的公司。微软从很久以前就开始了其过去的行动,这是一个长期的耻辱。国际海事组织(IMO),我们不应该让这导致针对当前微软的有偏见的决定。”

正式宣布,微软Linux系统集团将不迟于2019年8月8日加入该名单。

这个列表,linux-distros,已经包括了FreeBSD、NetBSD和大多数主要Linux分销商的开发人员。这包括Canonical、Debian、Red Hat、SUSE和云Linux供应商,如AmazonWe bServices(AWS)和Oracle。

这份清单的目的是“报告和讨论尚未公布的安全问题(但很快将公布)”。多快?该名单的维护人员要求,在向该集团透露后,不得超过14天的保密漏洞。因此,例如,英特尔的CPU崩溃和光谱安全错误不会在linux-distros上讨论。已经进入公众视野的安全问题在开放源码软件安全邮件列表中处理。

免责声明:本文由用户上传,如有侵权请联系删除!