Linux Foundation ‘ s
Centrale Infrastruktur Initiativ, projekt, tirsdag annonceret en gratis badge program til at hjælpe med at fremme sikkerhed, kvalitet og stabilitet i open source-software-projekter.
Gennem en online app, CII lader devs afgøre, om de er følgende bedste fremgangsmåder, som regel inden for en time eller så.
Hvis de er, vil de modtage den badge, som de kan vise på GitHub og andre online-egenskaber.
Den løbende udvikling af app ‘ en og dens kriterier, der er et open source-projekt, som snart kan bidrage med.
Curl, GitLab, Linux-Kernen og OpenSSL er blandt de projekter, der allerede har opnået badge.
Omfatter OpenSSL
Vederlaget for mærket nu også omfatter en vurdering af OpenSSL, den software, der anvendes af open source Web-servere som Nginx og Apache, som er vært for mere end 60 procent af verdens hjemmesider.
At en udbredt anvendelse lavet hundredvis af tusindvis af hjemmesider sårbare over for Heartbleed
OpenSSL fejl, og mange store sites, herunder Yahoo, var venstre scrambling for et fix.
De fejl, der blev opdaget i April 2014, har medført en mindre programmeringsfejl lavet af en Ph. D. studerende. Det blev efterfulgt af en anden fejl i juli 2015.
Disse sårbarheder er en konsekvens af manglende finansiering, og den lille størrelse af OpenSSL-hold, efter OpenSSL Foundation formand Steve Marquess.
Men “alt software har sikkerhedsspørgsmål,” bemærkede Josh Bressers, sikkerhed strateg på Red Hat.
Brug af OpenSSL i websites
har været tendenser støt nedad siden 2015.
Før Hjertet slog, OpenSSL mødte kun omkring en tredjedel af CII Bedste Praksis Badge kriterier, i henhold til Linux Foundation, men det er nu score en perfekt 100 procent.
Badge ‘ s Indflydelse
Badge er en måde at genkende utrolig vigtigt bidrag til open source-programmører gøre til fællesskabet, der er observeret Red Hat ‘ s Bressers.
“Det skal i det mindste skabe erfaringer, som kan anvendes i fremtiden,” fortalte han LinuxInsider.
“En” God Husholdning sæl ” er en god analogi,” bemærkede Chenxi Wang, chief strategy officer i
Twistlock.
“Det er ikke helt til at sige ‘sårbarhed gratis”, men det giver en generel følelse af tillid og sikkerhed for, at den software, der har mindst været igennem nogle standard kontrol og praksis garantier,” fortalte hun LinuxInsider.
Problemer Med Open Source
“Jeg tror, at open source software er ikke bedre eller værre end [proprietær] software i form af sikkerhedshuller,” Wang foreslået. “Vi hører mere om open source mangler, fordi de har tendens til at være offentlige i form af offentliggørelse af sikkerhedshuller.”
Problemet med open source software er, at det har ingen fast standard med hensyn til sikkerhed niveauer til test, observerede Holger Müller, ledende analytiker hos Constellation Research.
Badge-processen “er et meget godt første skridt til at få flere open source-initiativer til at begynde at vedtage nogle grundlæggende og nogle avancerede sikkerheds protokoller,” fortalte han LinuxInsider.
Der i øjeblikket er nogle måder at måle et open source projekt, objektivt, Red Hat ‘ s Bressers påpeget. “Hvis dette projekt formår at skabe et fællesskab, hvor vi kan præcist og let at forstå niveauet af sikkerhed for et givet projekt, der ville være gode nyheder for alle, især de projekter, der sætter kræfter ind på at tjene en positiv bedømmelse.”
En af de store udfordringer for open source i dag, er “at være i stand til at forstå og kontrollere værdikæden i din udvikling og afhængigheder,” forklarede han. “Ideelt set, [badge projekt], der vil bidrage med.”
Den standard for tildeling af mærket, er rimelige, så “det vil hurtigt blive anmodet om ved open source forbrugerne,” Constellation Müller forudsagt. “Vi bør ikke være overrasket over at se, en udbredt anvendelse.”
Selv om det er for tidligt at sige, om det kan ende med at blive en de facto standard, er den store interesse og opbakning af flere projekter “er et godt tegn,” sagde han.
Arbejde Sammen
Standarder krige gentagne gange har været i udbrud i den proprietære software-området, og hvis standarder rivalisering var at opstå for open source, det ville være dårligt, Mueller funderede.
Generelt er det dog, at den sikkerhed, fællesskab har arbejdet godt sammen, bemærkede han. I stedet for at konkurrere, har forskerne været i lag oven på hinanden og supplere hinandens arbejde.
“I den endnu mere samarbejde open source økosystem,” sagde Müller, “jeg vil blive overrasket over at se en anden tilgang.”
Richard Adhikari har skrevet om high-tech for branchens førende publikationer siden 1990’erne, og vidundere, hvor det hele fører til. Vil implanteret RFID-chips i mennesker være Dyrets Mærke? Vil nanotech løse vores kommende fødevarekrise? Gør Stør ‘ s Lov, der stadig holder stik? Du kan forbinde med Richard på
Google+.