Existe uma lista de segurança privada com membros das principais distribuições Linux e outros membros independentes que contribuem com desenvolvimento do Kernel Linux e afins. Nessa lista, eles trazem discussões cruciais para obter um alerta antecipado, coordenar os modos de atuações e a implantação de correções antes que elas se tornem públicas.

Em resumo, o propósito da lista oss-security é mitigar o mais rápido possível problemas de segurança relacionados aos seus artefatos de softwares. A Microsoft e a comunidade de segurança Linux estão ficando mais próximas.

“Microsoft ama o Linux”

Esta frase já se tornou um lema para as últimas mudanças de postura da Microsoft perante ao universo open source, software livre, o Linux e afins. Dada a aversão da Microsoft, no passado sendo o Linux considerado um câncer, para apoiar e incentivar projetos open source, é de se achar relevante a postura tão próxima. As coisas mudaram!

Por exemplo, em 2016, entrou de vez no mundo open source tornado-se membro Platinum da Linux Foundation – organização sem fins lucrativos que promove o crescimento do Linux.

Conforme anúncio, a Linux Foundation destacou que “a Microsoft tem aumentado constantemente o seu envolvimento em projetos de código aberto e comunidades. A empresa é atualmente um dos principais contribuidores de código aberto no GitHub e no início deste ano anunciou vários marcos que indicam o escopo de seu compromisso com o desenvolvimento de código aberto.”

De fato, nos últimos tempos tivemos várias notícias a respeito desse envolvimento. Por exemplo, no mesmo período da adesão a Linux Fundation, mais precisamente em março de 2016, a Microsoft divulgou que o Bash do Linux rodaria, “nativamente”, no Windows – através da parceria firmada entre a Canonical (empresa mantenedora do Ubuntu) e a Microsfot; criando o Windows Subsystem for Linux (WSL). E já esse ano (2019), anunciou o WSL 2 com kernel Linux direto no Windows 10.

Inclusive, antes disso, a Microsoft tinha divulgado o .NET Core 1.0 como open source (GitHub); a parceria com a Canonical para trazer Ubuntu para o Windows 10; tinha trabalhado com o FreeBSD para liberar uma imagem para o Azure; e depois de adquirir a Xamarin, a Microsoft abriu seu kit de desenvolvimento de software.

Além disso, a Microsoft trabalha com empresas como a Red Hat, SUSE e outras para dar suporte às suas soluções em seus produtos. Além disso, já contribui para vários projetos; entre eles: Node.js Foundation, OpenDaylight, Open Container Initiative, R Consortium e Open API Initiative.

Microsoft e a comunidade de segurança Linux

Parece que todo “esse amor” vem aumentando. Recentemente, um desenvolvedor da Microsoft, intitulado “hacker do kernel Linux”, Sasha Levin (perfil Linkedin), fez um pedido de adesão à lista, que, se aprovado, permitiria que a Microsoft aproveitasse as conversas privadas sobre vulnerabilidades, patches e problemas contínuos de segurança com o kernel Linux e relacionado.

Parece ser algo obscuro, mas tudo indica uma tendência natural; mediante a toda a “evolução” da Microsoft em adotar o Linux em sua soluções, bem como: Azure Sphere e o Windows Subsystem For Linux (WSL) 2.

No e-mail enviado para lista oss-security, o Levin teve que se submeter a análise de vários critérios/requisitos para ao menos solicitar entrar na lista. Inclusive, ainda está em análise. Mas, tudo indica que será aprovado. Um dos 13 critérios para entrar na lista foi ter citado um “uma distro do sistema operacional Unix ativamente mantida, com uso substancial de componentes Open Source”. Assim, ele citou:

Microsoft provides several distro-like builds which are not derivative

of an existing distribution that are based on open source components: – Azure Sphere

(https://azure.microsoft.com/en-us/services/azure-sphere/): This

Linux-based IoT device provides, among various things, security

updates to deployed IoT devices. As the project is about to step out

of public preview into the GA stage, we expect millions of these

devices to be publicly used. – Windows Subsystem for Linux v2

(https://devblogs.microsoft.com/commandline/wsl-2-is-now-available-in-windows-insiders/):

A Linux based distro that runs as a virtual machine on top of Windows

hosts. WSL2 is currently available for public preview and scheduled

for GA early 2020. – Products such as Azure HDInsight

(https://azure.microsoft.com/en-us/free/hdinsight) and the Azure

Kubernetes Service

(https://azure.microsoft.com/en-us/services/kubernetes-service/)

provide public access to a Linux based distribution.

E outro critério fundamental é ter alguém já membro da lista privada, ou pelo menos outra pessoa que tenha estado ativa há anos; e que não esteja afiliada à Microsoft nem à sua organização. O Levin citou o Greg Kroah-Hartman.

Ele é um membro ativo da Linux Foundation e desenvolvedor Linux da árvore -stable, juntamente com Chris Wright. Conforme Greg Kroah-Hartman, Levin foi de fato um membro ativo da comunidade. O changelog para o kernel 5.0.15 do Linux está cheia de suas assinaturas, muitas vezes junto com Greg Kroah-Hartman.

Considerações finais

Como tudo indica a Microsoft será aceita na lista. Assim, ela iria juntar-se aos “jedis” do Linux com outros, como a equipe do Google Chrome OS e a Red Hat.

“O que estamos vendo aqui é que a Microsoft quer acesso aos primeiros alertas de segurança no Linux”, disse o pioneiro do código aberto Bruce Perens, conforme diz o The Register. “É por isso que especificamente eles estão pedindo para estar nesta lista. Eles estão se juntando a ele como um distribuidor Linux porque é assim que ele é estruturado. A Microsoft obviamente tem muitos artefatos Linux, e é sua responsabilidade corrigir bugs de segurança conhecidos tão rapidamente quanto outras distribuições Linux. ”

Assim, conclui-se que os tempos realmente mudaram desde que o então CEO da Microsoft, Steve Ballmer, afirmou que “o Linux é um câncer”, em 2001.

[Atualização 09.07.19]

A Microsoft é admitida na lista privada de segurança para desenvolvedores Linux. Assim, a partir de agora, poderá participar das discussões privadas em torno das questões de segurança.

Via TheRegister

Referências

Critérios para entrar na lista privada oss-security

Pedido para entrar na lista privada

Aprovação na lista privada