Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО

22 июня 2015 года

Организация Linux Foundation представила (Архивная копия от 31 марта 2017 на Wayback Machine) три новых проекта, которые получат финансирование от фонда Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии. Из подключившихся к работе фонда компаний можно отметить Amazon, Adobe, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, Hitachi, HP, Huawei, IBM, Intel, Microsoft, NetApp, NEC, Qualcomm, RackSpace, salesforce.com и VMware. В рамках очередного этапа финансирования данные компании выделили 500 тысяч долларов на повышение безопасности свободного ПО.

Помимо ранее получивших финансирование проектов OpenSSL, OpenSSH и NTP, фонд объявил о предоставлении трёх новых грантов:

• Финансирование в размере 200 тысяч долларов получит инициатива по обеспечению повторяемости сборок дистрибутива Debian GNU/Linux. Повторяемость сборки позволит подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних закладок, которые, например, могут быть интегрированы в результате использования поражённого в результате атаки компилятора или сборочного инструментария. Главным образом, различия при сборке одного и того же кода на разных системах вызваны непостоянством состава сборочного окружения и добавлением в файл меняющейся во времени служебной информации, такой как данные о дате сборки. Для обеспечения повторяемости необходимо полностью воссоздать эталонное сборочное окружение, использовать те же версии сборочного инструментария, идентичный набор опций и настроек по умолчанию, применять те же методы сортировки списков файлов. Несмотря на то, что проект развивается для Debian, к его разработке будут привлечены представители различных дистрибутивов, а итоговый инструментарий также можно будет использовать в Fedora, Ubuntu, OpenWrt и других дистрибутивах.
• Финансирование в размере 192 тысячи долларов получит проект по созданию TIS Interpreter, новой открытой системы для автоматизированного тестирования кода, которую можно будет использовать для подтверждения отсутствия уязвимостей в проектах. В качестве основы для создания новой открытой системы послужит ныне коммерческая система статического анализа кода TIS Analyzer. Ключевым отличием TIS Interpreter станет использование новой методологии, гарантирующей отсутствие ложных срабатываний, т.е. выявленные ошибки и проблемы с безопасностью не потребуют дополнительного ручного анализа на предмет ложного сигнала о проблеме и могут быть сразу помечены как требующие исправления. В рамках проекта также будут созданы специальные расширения и тестовые наборы данных для OpenSSL, позволяющие гарантировать отсутствие ложных срабатываний при проверке качества кода данного проекта.
• 60 тысяч долларов выделено на инструментарий для проведения fuzzing-тестирования Fuzzing Project. Инструментарий позволяет выявлять ошибки в программах на основании генерации потока случайно скомпонованных входных данных c последующим анализом аномалий в процессе их обработки проверяемым приложением. Получивший финансирование инструмент использует достаточно эффективную технику выявления проблем и уже проявил себя при поиске серьезных ошибок в OpenSSL и GnuPG. Полученные средства планируется использовать для проведения аналогичного fuzzing-тестирования различных открытых проектов, а также на оттачивание автоматизированных методов проверки.