RedTeam e CDF: i nuovi progetti della The Linux Foundation

0

Come ben sappiamo la The Linux Foundation organizza e sostiene ecosistemi intorno a progetti open source con lo scopo di accelerare lo sviluppo e l’adozione degli stessi. Grazie al supporto finanziario, infrastrutturale, e molto altro, da oramai quasi 20 anni è uno dei punti di riferimento nell’ambiente Linux.

In questi giorni ha annunciato due nuovi progetti con due scopi ben differenti: Red Team Project e Continuous Delivery Foundation (CDF).

Red Team Project nasce da una necessità sempre più viva nell’ambiente software: la sicurezza del software. Il termine Red Teams, nell’ambiente della sicurezza, indica una metodologia per testare l’effettivo programma di sicurezza di un gruppo o un’azienda, emulando il reale comportamento di un eventuale attaccante contro i sistemi.

Questo progetto si pone come sorta di “incubatore” di tool open source che implementano queste metodologie, includendo software che spaziano da utility per il containerized pentesting (per le vulnerabilità di container ed immagini), all’analisi dei rischi direttamente sui binari. Il progetto ovviamente non è nato dall’oggi al domani, bensì nasce dal Fedora Red Team Special Interest Group, lanciato da Jason Callaway:

We started Fedora Red Team SIG with some fellow Red Hatters at Def Con 25. We had some exploit mapping tools that we wanted to build, and I was inspired by Mudge and Sarah Zatko’s Cyber-ITL project; I wanted to make an open-source implementation of their methodologies.

Abbiamo avviato il Fedora Red Team SIG con alcuni compagni di Red Hat al Def Con 25. Avevamo alcuni tool di rilevazione exploit che volevamo costruire, ed io fui ispirato dal progetto Cyber-ITL di Mudge e Sarah Zatko; volevo creare un’implementazione open-source delle loro metodologie

I differenti tool che sono presenti nel progetto possono essere trovati nella pagina GitHub del Red Team Project, al momento composta già da 11 diversi repository.

Parallelamente viene annunciata anche la creazione della Continuous Delivery Foundation (CDF) con lo scopo di creare metodologie che permettano di creare pipelines riutilizzabili su diverse piattaforme di Continuous Integration/Continuous Delivery (CI/CD).

Il problema di rendere riutilizzabili queste pipeline sta nel fatto che, seppur le attuali piattaforme risolvano le stesse problematiche, approcciano l’argomento in maniera differente, e per questo la standardizzazione richiede interesse da parte di chi sviluppa quelle stesse piattaforme.

Fortunatamente, al recente Open Source Leadership Summit sono già stati presentati i primi progetti facenti parte della CDF: Jenkins, la piattaforma di CI/CD open source per eccellenza e Jenkins X, sistema simile ma pensato per l’utilizzo su Kubernetes, entrambi sviluppati da CloudBees. Il progetto sembra molto valido, al punto che due big player del settore, Netflix e Google, hanno iniziato a contribuire con Spinnaker, soluzione di Continuous Delivery multi-cloud sviluppata da entrambi, e con Tekton, sviluppato da Google, un progetto e delle specifiche già open source per la creazione di componenti CI/CD.

I membri fondatori di questa CDF sono nomi molto importanti, che spaziano da aziende molto legate all’ambiente Linux/open source (Red Hat, Puppet, Google, Netflix, etc.) fino a società che si appoggiano particolarmente a soluzioni open source per garantire la loro forte presenza sulla rete (Alibaba, Huawey, Armory, etc.).

Non è ancora ben chiaro però quanto questa CDF sarà supportata in futuro; seppur CloudBees ha inserito una delle piattaforme CI/CD più utilizzate (Jenkins/Jenkins X), altre soluzioni in questi anni stanno prendendo molto piede. È anche vero che questa fondazione dovrebbe, grazie al suo tentativo di “standardizzare” un elemento così caro al mondo DevOps, riuscire anche a far emergere le pratiche DevOps ancora di più, soprattutto quelle che sono state applicate con successo.

I prossimi mesi saranno cruciali per vedere se questi progetti decolleranno o se resteranno in sordina, ma sicuramente la forte attualità dei temi trattati farà si che ne sentiremo parlare ancora per parecchio tempo.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.