Anche se l’articolo “curl diventa CVE Numbering Authority e, finalmente, le segnalazioni di bug avranno un senso” non sembra aver riscontrato un successo di pubblico esagerato, grazie alla notizia che stiamo per dare è possibile sottolinearne l’importanza.

Già, perché dopo curl anche il progetto Linux è stato accettato come autorità CNA, CVE Numbering Authority. Lo ha raccontato il maintainer del ramo stabile del Kernel, Greg Kroah-Hartman, in un post apparso sul proprio blog.

È interessante come, per stessa ammissione dell’autore, le ragioni per cui il progetto Linux abbia intrapreso la strada per diventare CNA siano sostanzialmente le stesse del progetto curl.

Kroah-Hartman sottolinea poi come un contributo essenziale al raggiungimento di questo risultato sia stato dato dal progetto Python (che è diventato CNA lo scorso anno) e dal progetto OpenSSF che ha supportato mediante la fornitura dei documenti necessari tanto la candidatura, quanto l’effettiva accettazione.

Dicevamo delle motivazioni. Così come Daniel Stenberg, anche Kroah-Hartman ha da sempre battagliato contro le segnalazioni anomale, tanto da scrivere in passato un articolo dal titolo CVEs are dead, long live the CVE! (Le CVE sono morte, lunga vita alle CVE!) e raggiungere l’obiettivo CNA dovrebbe a tutti gli effetti garantire al Kernel di avere segnalazioni più sensate e veritiere.

Questo viene spiegato nella patch contenente le informazioni per aprire CVE che è stata inserita nel Kernel Linux, la cui apertura è decisamente eloquente:

Common Vulnerabilities and Exposure (CVE®) numbers, were developed as an unambiguous way to identify, define, and catalog publically disclosed security vulnerabilities. Over time, their usefulness has declined with regards to the kernel project, and CVE numbers were very often assigned in inappropriate ways and for inappropriate reasons. Because of this, the kernel development community has tended to avoid them. However, the combination of continuing pressure to assign CVEs and other forms of security identifiers, and ongoing abuses by community members outside of the kernel community has made it clear that the kernel community should have control over those assignments.

I numeri CVE® (Common Vulnerabilities and Exposure) sono stati sviluppati come un modo inequivocabile per identificare, definire e catalogare le vulnerabilità di sicurezza divulgate pubblicamente. Nel tempo la loro utilità è diminuita rispetto al progetto kernel e molto spesso i numeri CVE sono stati assegnati in modi e per ragioni inadeguati. Per questo motivo, la comunità di sviluppo del kernel tende ad evitarli. Tuttavia, la combinazione tra la continua pressione per assegnare CVE e altre forme di identificatori di sicurezza e gli abusi continui da parte di membri della comunità al di fuori della comunità del kernel ha reso chiaro che la comunità del kernel dovrebbe avere il controllo su tali assegnazioni.

Segue poi la spiegazione del processo che verrà seguito per assegnare le CVE e delle regole necessarie affinché la CVE venga accettata il cui scopo è filtrare in maniera preventiva tutte le segnalazioni insensate con cui i membri del progetto Linux (e curl, e Python, eccetera) hanno dovuto combattere sino ad oggi.

In conclusione questa è certamente la migliore notizia possibile. C’è da scommettere infatti come l’esempio di due tra i progetti open-source che, senza timore di smentita, possiamo affermare essere tra i più importanti del mondo, sarà seguito da altri progetti.

Come hanno dimostrato le segnalazioni farlocche che più volte abbiamo raccontato, gridare “Al lupo! Al lupo!” non serve a nulla. Pertanto addio isteria, benvenuta concretezza.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.