С 27 по 30 сентября 2021 года проходил The Linux Foundation Open Source Summit. Решил пробежаться по программе докладов и посмотреть, что интересного было.

Доклад Securing a Yocto-based Distribution: The Case of an All Scenarios OS про безопасность встраиваемых решений в Yocto. Ранее мне уже попадался хороший доклад от Yocto про их подходы к Software Composition Analysis (SCA), поэтому думается с пониманием безопасности у них все неплохо.

Вот что предлагают (в том числе утилиты):

• сценарий по добавлению флагов компиляции, повышающих безопасность (-fno-PIE, -fstack-protector-strong, -D_FORTIFY_SOURCE и т.п.);
• переменные для сборки без отладочного кода;
• настройка учетных записей и паролей;
• удаление ненужных сервисов;
• проверка используемых компонентов на CVE;
• добавление lynis для проверки настроек в состав дистрибутива.

Дальнейшее развитие:

• Secure boot и верификация загружаемого образа;
• отправка фиксов безопасности в upstream.

Из доклада How Open Source is Eating Software: Numbers and Trends интересна пожалуй только только статистика из The State of Enterprise Open Source 2020:

Дается прогноз на увеличение opensource в Enterprise. И уже есть новый отчет за 2021 год, можно почитать.

Два доклада What does an Open Source Office do in a Bank? и University-based Open Source Programs Offices мне были интересны из-за нового понятия OSPO (open source programs office). Как я понимаю, это подразделение в организации, которое отвечает за политику использования и управления opensource. Часто приходится этот термин слышать в последнее время.

Доклад Software Composition Analysis with Free Tools and Data посвящен поиску уязвимостей в заимствованных компонентах ПО. Про ресурс ScanCode.io и ряд других интересных инструментов.

В докладе Toolchains for People in a Hurry: Latest Features of GCC/GLIBC наиболее заинтересовала часть про опции флага -fanalyzer GCC:

• Wanalyzer-shift-count-negative;
• Wanalyzer-shift-count-overflow;
• Wanalyzer-write-to-const;
• Wanalyzer-write-to-string-literal.

с примерами, а также ссылкой на цикл статей о нововведениях статического анализатора GCC 9-11. Вроде бы всё.