The Linux Foundation Open Source Summit 2021
С 27 по 30 сентября 2021 года проходил The Linux Foundation Open Source Summit. Решил пробежаться по программе докладов и посмотреть, что интересного было.
Доклад Securing a Yocto-based Distribution: The Case of an All Scenarios OS про безопасность встраиваемых решений в Yocto. Ранее мне уже попадался хороший доклад от Yocto про их подходы к Software Composition Analysis (SCA), поэтому думается с пониманием безопасности у них все неплохо.
Вот что предлагают (в том числе утилиты):
- сценарий по добавлению флагов компиляции, повышающих безопасность (-fno-PIE, -fstack-protector-strong, -D_FORTIFY_SOURCE и т.п.);
- переменные для сборки без отладочного кода;
- настройка учетных записей и паролей;
- удаление ненужных сервисов;
- проверка используемых компонентов на CVE;
- добавление lynis для проверки настроек в состав дистрибутива.
Дальнейшее развитие:
- Secure boot и верификация загружаемого образа;
- отправка фиксов безопасности в upstream.
Из доклада How Open Source is Eating Software: Numbers and Trends интересна пожалуй только только статистика из The State of Enterprise Open Source 2020:
Дается прогноз на увеличение opensource в Enterprise. И уже есть новый отчет за 2021 год, можно почитать.
Два доклада What does an Open Source Office do in a Bank? и University-based Open Source Programs Offices мне были интересны из-за нового понятия OSPO (open source programs office). Как я понимаю, это подразделение в организации, которое отвечает за политику использования и управления opensource. Часто приходится этот термин слышать в последнее время.
Доклад Software Composition Analysis with Free Tools and Data посвящен поиску уязвимостей в заимствованных компонентах ПО. Про ресурс ScanCode.io и ряд других интересных инструментов.
В докладе Toolchains for People in a Hurry: Latest Features of GCC/GLIBC наиболее заинтересовала часть про опции флага -fanalyzer GCC:
- Wanalyzer-shift-count-negative;
- Wanalyzer-shift-count-overflow;
- Wanalyzer-write-to-const;
- Wanalyzer-write-to-string-literal.
с примерами, а также ссылкой на цикл статей о нововведениях статического анализатора GCC 9-11. Вроде бы всё.