Microsoft ammessa alla lista chiusa linux-distro security

Se ci leggete da qualche tempo, ben sapete che i tempi di “Linux è un cancro” sono oramai un ricordo lontano in Microsoft.

Prima l’abbraccio dell’open source, poi l’apertura agli sviluppatori Linux grazie ad una collaborazione con Canonical ed alla prima iterazione del Windows Substratus for Linux, finendo con la creazione di una propria distribuzione Linux con kernel personalizzato, oramai l’azienda di Redmond ha capito che -almeno- la convivenza può portare a tanti benefici anche per lei.

Certo, noi utenti (e sviluppatori) che abbiamo sempre guardato all’azienda creatrice di Windows come al “nemico”, però tendiamo a vedere del torbido: dai teorici dell’approccio EEE a chi dice che è solo una fase, non sappiamo ancora se fidarci o meno.

Però, alcuni sviluppatori iniziano a vedere Microsoft come uno degli altri player in campo e, dopo diverse discussioni, l’azienda è stata accettata alla “Linux distribution security contacts list“, una lista privata in cui si discute dei problemi di security legati al kernel Linux prima che questi diventino pubblici; in soldoni, essere accettati in questa lista rende a tutti gli effetti la propria distribuzione Linux come riconosciuta a livello ufficiale. Quindi, vicino alle classiche Debian, Gentoo, Ubuntu e SUSE (ed ad altre storiche), ed insieme ad altre aziende big del settore, come Google con il suo Chrome OS ed Oracle per Unbreakable Linux, vedremo anche l’azienda di Nadella. In effetti, al momento, ci sono almeno 2 distribuzioni Linux create da Microsoft e non basate su distribuzioni già presenti: Azure Sphere e WSL2.

Microsoft has decades long history of addressing security issues via MSRC. While we are able to quickly (<1-2 hours) create a build to address disclosed security issues, we require extensive testing and validation before we make these builds public. Being members of this mailing list would provide us the additional time we need for extensive testing

Microsoft ha una lunga storia decennale di gestione dei problemi di sicurezza tramite MSRC (Microsoft Security Response Center). Nonostante siamo in grado di creare rapidamente (in meno di 1-2 ore) una build per risolvere problemi di sicurezza, necessitiamo test e validazioni intensive prima di rendere queste build pubbliche. Essere parte di questa mailing list ci fornirà più tempo necessario per questi test estesi

Questo uno dei punti segnalati da Sasha Levin, uno sviluppatore in forza a Microsoft con una lunga esperienza nello sviluppo del kernel Linux, che aggiunge:

The Linux usage on our cloud has surpassed Windows, as a by-product of that MSRC has started receiving security reports of issues with Linux code both from users and vendors. It’s also the case that issues that are common for Windows and Linux (like those hardware bugs).

L’uso di Linux sul nostro cloud ha sorpassato Windows, e come conseguenza MSRC ha iniziato a ricevere report di sicureza per problemi con il codice Linux sia dagli utenti che dai vendor. Inoltre, casistiche simili avvengono per quei problemi che sono comuni tra Linux e Windows (come i bug hardware).

A proposito dell’approvazione di Microsoft e in favore di Levin si è espresso Greg Kroah-Hartman, attuale mainainer del branch stable del kernel Linux:

He is a long-time kernel developer and has been helping with the stable kernel releases for a few years now, with full write permissions to the stable kernel trees

È uno sviluppatore del kernel di lungo corso e sono diversi anni che sta aiutando con i rilasci del kernel stabile, con pieni permessi di scrittura nell’alberatura del kernel

Piena fiducia dal buon Greg quindi. Altra persona che appoggia l’inserimento di Microsoft è Alexander Peslyak, sviluppatore di security e fondatore del sito OpenWall, che vede l’inserimento dell’azienda come fisiologico, considerando anche la presenza di altre aziende similari:

Microsoft doesn’t look all that different from many other large corporations, including some which already have their Linux distro teams represented on the list. Microsoft has a lasting stigma from its past actions from long ago. IMO, we shouldn’t let that result in a biased decision against current Microsoft.

Microsoft non sembra differente da tante altre grosse aziende, incluse alcune che già hanno il loro team incaricato delle distro Linux rappresentato nella lista. Microsoft mantiene uno stigma dato da sue azioni passate di tanto tempo fa. IMO [In My Opinion, n.d.t.] non dovremmo considerarlo nel prendere decisioni contro l’attuale Microsoft.

Al netto di eventuali problematiche potremmo vedere Microsoft inserita in quella lista intorno all’8 di Agosto, ma ovviamente la discussione è ancora aperta.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: , ,