Проект grsecurity ограничивает доступ к стабильным веткам

27 августа 2015 года

Проект grsecurity, в рамках которого развивается серия надстроек для усиления безопасности ядра Linux, объявил о решении закрыть неограниченный доступ к стабильным версиям патчей, предоставив возможность их загрузки только спонсорам проекта. В качестве причины подобного решения называются массовые нарушения лицензии GPL и торговой марки проекта представителями индустрии встраиваемых устройств, которые используют разработки grsecurity в своих продуктах без какой-либо отдачи основному проекту и без открытия производных работ.

Доступ к экспериментальным веткам grsecurity останется открытым, что позволит избежать негативного влияния на сообщества Gentoo Hardened и Arch Linux, так как они используют экспериментальные выпуски grsecurity на базе свежих ядер Linux. Стабильные ветки, основанные на ядрах 3.2 и 3.14, в течение двух недель станут доступны только компаниям, участвующим в финансировании grsecurity.

Сообщается, что стабильные ветки удаётся поддерживать исключительно благодаря спонсорскому финансированию, без которого отдельных стабильных веток бы не существовало. Поэтому несправедливо, что одни платят за разработку и бэкпортирование исправлений из экспериментальных веток, а другие паразитируют, не выполняя требования лицензии GPL и нарушая торговую марку. Нарушения продолжаются несмотря на предупреждения и попытки привлечения юристов.

В качестве примера приводятся действия многомиллиардной корпорации, которая использует наработки grsecurity в своих продуктах и активно упоминает об этом в рекламе. При этом, их продукт основан на устаревшем ядре Linux и устаревшем наборе патчей grsecurity, которые разбавлены собственными проприетарными изменениями, что делает данную связку сомнительной с позиции безопасности, а упоминание grsecurity в контексте такой системы негативно влияет на репутацию проекта. Попытки инициирования судебного разбирательства, в рамках которого представители grsecurity пытались принудить компанию соблюдать требования лицензии GPL и запретить применять торговую марку grsecurity для рекламы своего продукта ни к чему не привели.

Поворотным моментом в принятии решения по переходу к платному распространению актуальных стабильных патчей также стала попытка получить финансирование от фонда Core Infrastructure Initiative (CII), в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии. Представители CII дали понять, что финансирование можно получить на работу по интеграции компонентов grsecurity в основное ядро Linux (ориентация на основное ядро связала бы руки разработчикам grsecurity и заставило бы отказаться от некоторых идей из-за слишком жестких требований по включению кода в mainline и обеспечению совместимости). Выделение средств на продолжение работы над grsecurity в прежнем виде оценено как нецелесообразное, так как средства выделяются не на поддержание разработки, а на создание новых возможностей или решение проблем в важных для инфраструктуры проектах.

Разработчики grsecurity попытались напомнить, что grsecurity не просто ещё один набор патчей к ядру Linux. По сути, grsecurity является проектом для создания новых технологий и практических средств защиты в области информационной безопасности и предотвращения атак. Наработки grsecurity активно применяются многими производителями дистрибутивов и прошивок, а созданные в grsecurity технологии служат основой для многих механизмов защиты в современных операционных системах и программных продуктах. По степени важности для обеспечения безопасности разработка grsecurity значительно важнее уже профинансированных CII инструментов fuzzing-тестирования и статического анализа.