Microsoft попросила включити її до списку розробників дистрибутивів Linux, які обмінюються між собою даними про нерозкриті вразливості
Microsoft попросила включити її до списку розробників дистрибутивів Linux, які обмінюються між собою даними про нерозкриті вразливості
Microsoft подала заявку на приєднання до списку розробників Linux, учасники якого обговорюють ще не розкриті вразливості та способи їх усунення. Компанія має кілька продуктів, заснованих на відкритому коді Linux. Тестувати патчі для Linux доводиться довго, тепер компанія має на це додатковий час.
Microsoft попросила включити її до списку розробників дистрибутивів Linux, які обмінюються між собою даними про нерозкриті вразливості. У списку є Canonical, Debian, Red Hat, Chrome OS і SUSE, також до нього входять хмарні провайдери Amazon Web Services (AWS) і Oracle. Microsoft вже подала заявку на вступ, пише ресурс CloudPro.
Насправді, Microsoft і сама створює дистрибутиви Linux, основою для яких є відкритий вихідний код. Наприклад, компанія розробила ОС для пристроїв інтернету речей Azure Sphere, підсистему Windows для Linux v2, служби Azure HDInsight та Azure Kubernetes Service. Але в списку розробників дистрибутивів, які мають доступ до закритих даних про вразливості, Microsoft не перебуває.
Фактично, Microsoft подала заявку на вступ одразу до двох груп: у мейлінг-лист, учасники якого обговорюють ще не розкриті вразливості та способи їх усунення, та до групи безпеки СПО, де обговорюються вже відомі баги.
Тепер у компанії з'явиться можливість отримувати дані від перерахованих розробників та спільно з ними працювати над патчами. Обговорення способів закриття вразливості у колі розробників триває від 7 до 14 днів, потім інформація розкривається.
За словами головного розробника ядра Linux у Microsoft, включення в список дасть Microsoft додатковий час для повноцінного тестування патчів. Сама по собі Microsoft може створити збірку для вразливості, інформацію про яку вже оприлюднено, за одну-дві години. Але на подальше тестування та перевірку потрібен час, якого тепер у компанії буде більше.
Той факт, що Microsoft працює над Azure Sphere та підсистемою Windows для Linux v2, допоміг компанії дотриматися критеріїв, необхідних для вступу до групи — це стало доказом, що Microsoft активно підтримує UNIX-подібні ОС з відкритими компонентами.
Для затвердження заявки повинні бути виконані й інші вимоги: наприклад, організація повинна мати в своєму розпорядженні базу користувача Linux, яка складається не тільки з представників самої організації. Microsoft повідомляє, що відповідає цьому критерію, оскільки мільйони клієнтів використовують ядро Linux через її дистрибутиви.
Також необхідний хоча б річний досвід ліквідації вразливостей у Linux, включаючи дистрибутиви, та досвід у випуску патчів за проміжок менший, ніж десять днів. Крім того, потрібна порука від когось із активних та довготривалих членів групи безпеки СПО.
