Linux Foundation анонсировала инициативу по защите Open Source ПО
Вчера, под патронатом Linux Foundation была основана новая организация с целью объединения важнейших и наиболее популярных проектов в области защиты открытого кода, а также компаний, которые поддерживают их.
В число членов-учредителей Open Source Security Foundation (OpenSSF) вошли такие известные технологические бренды, как GitHub, Google, IBM, Intel, Microsoft, Red Hat, Uber Technologies и VMware.
Под эгидой OpenSSF теперь будут работать, в частности, проект Core Infrastructure Initiative, ставший реакцией на открытие в 2014 г. печально знаменитой уязвимости Heartbleed в протоколе Open SSL, а также Open Source Security Coalition, основанная в 2019 г. по инициативе GitHub Security Lab.
Большинство проектов программного обеспечения с открытым исходным кодом чрезвычайно сложны, имеют длинную цепочку участников и зависимостей, что затрудняет их защиту. OpenSSF призвана помочь компаниям понять и проверить безопасность всех этих цепочек зависимостей.
OpenSSF уже учредила Правление и Технический консультативный совет и планирует принять под свою опеку ряд проектов, направленных на обеспечение безопасности самого популярного в мире программного обеспечения с открытым исходным кодом.
Источник
Новости Linux 🐧: @linux_gram
Вчера, под патронатом Linux Foundation была основана новая организация с целью объединения важнейших и наиболее популярных проектов в области защиты открытого кода, а также компаний, которые поддерживают их.
В число членов-учредителей Open Source Security Foundation (OpenSSF) вошли такие известные технологические бренды, как GitHub, Google, IBM, Intel, Microsoft, Red Hat, Uber Technologies и VMware.
Под эгидой OpenSSF теперь будут работать, в частности, проект Core Infrastructure Initiative, ставший реакцией на открытие в 2014 г. печально знаменитой уязвимости Heartbleed в протоколе Open SSL, а также Open Source Security Coalition, основанная в 2019 г. по инициативе GitHub Security Lab.
Большинство проектов программного обеспечения с открытым исходным кодом чрезвычайно сложны, имеют длинную цепочку участников и зависимостей, что затрудняет их защиту. OpenSSF призвана помочь компаниям понять и проверить безопасность всех этих цепочек зависимостей.
OpenSSF уже учредила Правление и Технический консультативный совет и планирует принять под свою опеку ряд проектов, направленных на обеспечение безопасности самого популярного в мире программного обеспечения с открытым исходным кодом.
Источник
Новости Linux 🐧: @linux_gram
Предложение по блокировке драйверов-прослоек, предоставляющих доступ к GPL-вызовам ядра Linux
Кристоф Хелвиг, известный разработчик ядра Linux, предложил ужесточить защиту от связывания проприетарных драйверов с компонентами ядра Linux, экспортируемыми только для модулей под лицензией GPL. Для обхода ограничения на экспорт GPL-символов производители проприетарных драйверов используют модуль-прослойку, код которой открыт и распространяется под лицензией GPLv2, но функции сводятся к трансляции доступа проприетарного драйвера к необходимым API ядра, запрещённым для использования из проприетарного кода напрямую. Для блокирования подобного манёвра Кристоф Хелвиг подготовил для ядра Linux патчи, которые обеспечивают наследование флагов, связанных с экспортом GPL-символов.
Источник
Новости Linux 🐧: @linux_gram
Кристоф Хелвиг, известный разработчик ядра Linux, предложил ужесточить защиту от связывания проприетарных драйверов с компонентами ядра Linux, экспортируемыми только для модулей под лицензией GPL. Для обхода ограничения на экспорт GPL-символов производители проприетарных драйверов используют модуль-прослойку, код которой открыт и распространяется под лицензией GPLv2, но функции сводятся к трансляции доступа проприетарного драйвера к необходимым API ядра, запрещённым для использования из проприетарного кода напрямую. Для блокирования подобного манёвра Кристоф Хелвиг подготовил для ядра Linux патчи, которые обеспечивают наследование флагов, связанных с экспортом GPL-символов.
Источник
Новости Linux 🐧: @linux_gram
www.opennet.ru
Предложение по блокировке драйверов-прослоек, предоставляющих доступ к GPL-вызовам ядра Linux
Кристоф Хелвиг (Christoph Hellwig), известный разработчик ядра Linux, в своё время входивший в управляющий технический комитет организации Linux Foundation и выступавший истцом в связанном с GPL судебном разбирательстве с VMware, предложил ужесточить защиту…
Выпуск браузера Pale Moon 28.12
Состоялся релиз web-браузера Pale Moon 28.12, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86 64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License).
Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum.
Среди изменений в новой версии:
Добавлена настройка для управления включением поддержки WebAssembly (включён по умолчанию).
Включены некоторые ранее отключённые функции CSS.
Для API Abort (AbortController) реализована многопоточная обработка сигналов прерывания запроса.
Удалён API DOM Battery, который уже давно был отключён по умолчанию для сохранения конфиденциальности.
Источник
Новости Linux 🐧: @linux_gram
Состоялся релиз web-браузера Pale Moon 28.12, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86 64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License).
Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum.
Среди изменений в новой версии:
Добавлена настройка для управления включением поддержки WebAssembly (включён по умолчанию).
Включены некоторые ранее отключённые функции CSS.
Для API Abort (AbortController) реализована многопоточная обработка сигналов прерывания запроса.
Удалён API DOM Battery, который уже давно был отключён по умолчанию для сохранения конфиденциальности.
Источник
Новости Linux 🐧: @linux_gram
Опубликован графический редактор Pinta 1.7, выступающий в роли аналога Paint. NET
Спустя пять лет с момента прошлого выпуска сформирован релиз открытого растрового графического редактора Pinta 1.7, представляющего собой попытку переписать программу Paint.NET с использованием GTK. Редактор предоставляет базовый набор возможностей для рисования и обработки изображений, ориентируясь на начинающих пользователей. Редактор поддерживает неограниченный буфер отката изменений, позволяет работать с несколькими слоями, укомплектован набором инструментов для наложения различных эффектов и корректировки изображений. Код Pinta распространяется под лицензией MIT. Проект написан на языке C# с использованием Mono и обвязки Gtk#. Бинарные сборки подготовлены для Ubuntu, macOS и Windows.
Источник
Новости Linux 🐧: @linux_gram
Спустя пять лет с момента прошлого выпуска сформирован релиз открытого растрового графического редактора Pinta 1.7, представляющего собой попытку переписать программу Paint.NET с использованием GTK. Редактор предоставляет базовый набор возможностей для рисования и обработки изображений, ориентируясь на начинающих пользователей. Редактор поддерживает неограниченный буфер отката изменений, позволяет работать с несколькими слоями, укомплектован набором инструментов для наложения различных эффектов и корректировки изображений. Код Pinta распространяется под лицензией MIT. Проект написан на языке C# с использованием Mono и обвязки Gtk#. Бинарные сборки подготовлены для Ubuntu, macOS и Windows.
Источник
Новости Linux 🐧: @linux_gram
Джеффри Кнаут избран новым президентом Фонда СПО
Фонд Свободного ПО объявил об избрании нового президента, после ухода с данного поста Ричарда Столлмана после обвинений в поведении, недостойном лидера движения СПО, и угроз разрыва отношений с СПО некоторых сообществ и организаций. Новым президентом стал Джеффри Кнаут (Geoffrey Knauth), входивший в совет директоров Фонда СПО с 1998 года и принимающий участие в работе проекта GNU с 1985 года.
Джеффри окончил Гарвардский университет со специализацией в области экономики, после чего посвятил свою деятельность компьютерным наукам, которые сейчас преподаёт в колледже Lycoming. Джеффри является сооснователем проекта GNU Objective-C. Кроме английского и других языков Джеффри владеет и русским.
Джеффри указал, что видит цель своей дальнейшей деятельности в оказании помощи сообществу в защите и развитии свободного ПО. Он также отметил важность поддержания здорового духа и разнообразия сообщества, так как различия жизненного опыта и мнений способствуют возникновению творчества и появлению новых идей.
Джеффри призвал уважительно относиться друг к другу в случае разногласий и сообща вырабатывать наилучшие решения, а также помнить что объединяет и вдохновляет приверженцев СПО, так как это является важным для достижения намеченной цели. Он пообещал поддерживать честный диалог с сообществом и оказывать поддержку в стремлении обезопасить будущее СПО для грядущих поколений и сохранить постулаты, лежащие в основе движения СПО.
Фонд также объявил о включении в совет директоров нового участника - Одиль Бенасси (Odile Bénassy), французскую активистку, занимающуюся продвижением СПО. Одиль преподаёт математику, занимается исследованиями и разработкой ПО. В сообществе Одиль известна как лидер проекта GNU Edu. Отмечается, что Одиль стала первым директором Фонда из Европы.
Источник
Новости Linux 🐧: @linux_gram
Фонд Свободного ПО объявил об избрании нового президента, после ухода с данного поста Ричарда Столлмана после обвинений в поведении, недостойном лидера движения СПО, и угроз разрыва отношений с СПО некоторых сообществ и организаций. Новым президентом стал Джеффри Кнаут (Geoffrey Knauth), входивший в совет директоров Фонда СПО с 1998 года и принимающий участие в работе проекта GNU с 1985 года.
Джеффри окончил Гарвардский университет со специализацией в области экономики, после чего посвятил свою деятельность компьютерным наукам, которые сейчас преподаёт в колледже Lycoming. Джеффри является сооснователем проекта GNU Objective-C. Кроме английского и других языков Джеффри владеет и русским.
Джеффри указал, что видит цель своей дальнейшей деятельности в оказании помощи сообществу в защите и развитии свободного ПО. Он также отметил важность поддержания здорового духа и разнообразия сообщества, так как различия жизненного опыта и мнений способствуют возникновению творчества и появлению новых идей.
Джеффри призвал уважительно относиться друг к другу в случае разногласий и сообща вырабатывать наилучшие решения, а также помнить что объединяет и вдохновляет приверженцев СПО, так как это является важным для достижения намеченной цели. Он пообещал поддерживать честный диалог с сообществом и оказывать поддержку в стремлении обезопасить будущее СПО для грядущих поколений и сохранить постулаты, лежащие в основе движения СПО.
Фонд также объявил о включении в совет директоров нового участника - Одиль Бенасси (Odile Bénassy), французскую активистку, занимающуюся продвижением СПО. Одиль преподаёт математику, занимается исследованиями и разработкой ПО. В сообществе Одиль известна как лидер проекта GNU Edu. Отмечается, что Одиль стала первым директором Фонда из Европы.
Источник
Новости Linux 🐧: @linux_gram
FreeBSD 13-CURRENT поддерживает не менее 90% популярного оборудования на рынке
На портале BSD-Hardware. info проведено исследование, согласно которому поддержка оборудования во FreeBSD не так плоха, как об этом говорят. В оценке было учтено, что не все оборудование на рынке одинаково популярно. Есть широко используемые устройства, поддержка которых необходима, и есть редкие устройства, владельцев которых можно пересчитать по пальцам. Соответственно в оценке вес каждого отдельного устройства учитывался пропорционально его популярности. Информация о популярности устройств была предоставлена проектом Linux-Hardware. org на основе проб оборудования 60 тысяч пользователей за последние 5 лет. Информация о поддержке устройств была извлечена из исходных кодов ядра FreeBSD.
Средняя доля поддерживаемых устройств по наиболее важным категориям (Ethernet, WiFi, ATA/IDE/RAID, графические карты и звук) во FreeBSD составила около 90%, и это оценка снизу. Соответствующий показатель для OpenBSD составил 75%, а для NetBSD — 60%. Наиболее слабой стороной FreeBSD ожидаемо оказалась категория WiFi-карт, доля совместимых устройств в которой составила чуть более 70%. Результаты по всем категориям размещены в GitHub-репозитории.
Таким образом, проблема скорее с поиском совместимых с FreeBSD конфигураций среди всего многообразия на рынке, нежели в количестве поддерживаемого оборудования: с вероятностью 10% может попасться несовместимое оборудование, поэтому надо уметь заранее проверять его на совместимость перед покупкой с помощью документации к драйверам, базы оборудования, списков совместимых устройств и информации на форумах.
Источник
Новости Linux 🐧: @linux_gram
На портале BSD-Hardware. info проведено исследование, согласно которому поддержка оборудования во FreeBSD не так плоха, как об этом говорят. В оценке было учтено, что не все оборудование на рынке одинаково популярно. Есть широко используемые устройства, поддержка которых необходима, и есть редкие устройства, владельцев которых можно пересчитать по пальцам. Соответственно в оценке вес каждого отдельного устройства учитывался пропорционально его популярности. Информация о популярности устройств была предоставлена проектом Linux-Hardware. org на основе проб оборудования 60 тысяч пользователей за последние 5 лет. Информация о поддержке устройств была извлечена из исходных кодов ядра FreeBSD.
Средняя доля поддерживаемых устройств по наиболее важным категориям (Ethernet, WiFi, ATA/IDE/RAID, графические карты и звук) во FreeBSD составила около 90%, и это оценка снизу. Соответствующий показатель для OpenBSD составил 75%, а для NetBSD — 60%. Наиболее слабой стороной FreeBSD ожидаемо оказалась категория WiFi-карт, доля совместимых устройств в которой составила чуть более 70%. Результаты по всем категориям размещены в GitHub-репозитории.
Таким образом, проблема скорее с поиском совместимых с FreeBSD конфигураций среди всего многообразия на рынке, нежели в количестве поддерживаемого оборудования: с вероятностью 10% может попасться несовместимое оборудование, поэтому надо уметь заранее проверять его на совместимость перед покупкой с помощью документации к драйверам, базы оборудования, списков совместимых устройств и информации на форумах.
Источник
Новости Linux 🐧: @linux_gram
GPL-код из Telegram взят мессенджером Mail. ru без соблюдения GPL
Разработчик Telegram Desktop обнаружил, что клиент im-desktop от Mail. ru, (по всей видимости, это десктоп клиент myteam) скопировал вообще без изменений старый самописный движок анимации из Telegram Desktop (по мнению самого автора, не лучшего качества). При этом мало того, что изначально никак не был упомянут Telegram Desktop, но и лицензия кода была изменена, соответственно, с GPLv3 на Apache, что недопустимо по требованиям GPLv3.
Что-то было добавлено, но изначально содержимое было перенесено просто под копирку с минимальными изменениями. 6 августа, после репоста информации в некоторых Telegram-чатах, упоминание авторства было добавлено, однако перелицензирование с GPLv3 на более пермиссивную Apache 2.0 по-прежнему осталось. Соответственно, существует потенциальная возможность иска от Telegram к Mail. Ru Group.
Источник
Новости Linux 🐧: @linux_gram
Разработчик Telegram Desktop обнаружил, что клиент im-desktop от Mail. ru, (по всей видимости, это десктоп клиент myteam) скопировал вообще без изменений старый самописный движок анимации из Telegram Desktop (по мнению самого автора, не лучшего качества). При этом мало того, что изначально никак не был упомянут Telegram Desktop, но и лицензия кода была изменена, соответственно, с GPLv3 на Apache, что недопустимо по требованиям GPLv3.
Что-то было добавлено, но изначально содержимое было перенесено просто под копирку с минимальными изменениями. 6 августа, после репоста информации в некоторых Telegram-чатах, упоминание авторства было добавлено, однако перелицензирование с GPLv3 на более пермиссивную Apache 2.0 по-прежнему осталось. Соответственно, существует потенциальная возможность иска от Telegram к Mail. Ru Group.
Источник
Новости Linux 🐧: @linux_gram
USB-стек ядра Linux переведён на использование инклюзивных терминов
В кодовую базу, на основе которой формируется будущий выпуск ядра Linux 5.9, в подсистему USB приняты изменения с чисткой неполиткорректных терминов. Изменения внесены в соответствии с недавно принятыми рекомендациями по использованию инклюзивной терминологии в ядре Linux.
Код очищен от использования слов "slave", "master", "blacklist" и "whitelist". Например, вместо фразы "usb slave device" теперь используется "usb gadget device", выражение "master/slave protocol" заменено на "host/device protocol", вместо отдельных упоминаний "slave" указывается "device", вместо "master" - "controller" или "host", слово "blacklist" заменено на "ignore", "some" или "disable", "whitelist" на "productlist". Изменения затрагивают в том числе названия заголовочных файлов, структур и функций.
Источник
Новости Linux 🐧: @linux_gram
В кодовую базу, на основе которой формируется будущий выпуск ядра Linux 5.9, в подсистему USB приняты изменения с чисткой неполиткорректных терминов. Изменения внесены в соответствии с недавно принятыми рекомендациями по использованию инклюзивной терминологии в ядре Linux.
Код очищен от использования слов "slave", "master", "blacklist" и "whitelist". Например, вместо фразы "usb slave device" теперь используется "usb gadget device", выражение "master/slave protocol" заменено на "host/device protocol", вместо отдельных упоминаний "slave" указывается "device", вместо "master" - "controller" или "host", слово "blacklist" заменено на "ignore", "some" или "disable", "whitelist" на "productlist". Изменения затрагивают в том числе названия заголовочных файлов, структур и функций.
Источник
Новости Linux 🐧: @linux_gram
Уязвимости во FreeBSD
Во FreeBSD выявлено несколько уязвимостей, которые устранены в обновлениях 12.1-RELEASE-p8, 11.4-RELEASE-p2 и 11.3-RELEASE-p12:
— CVE-2020-7460 - повышение привилегий в системе через манипуляции с 32-разрядным вызовом sendmsg на 64-разрядной системе. Проблеме не подвержены 32-разрядные системы и системы с ядром, собранным без опции COMPATFREEBSD32 (по умолчанию включена в ядрах GENERIC).
— CVE-2020-7459 - отсутствие должных проверок размера копируемых в буфер данных в Ethernet-драйверах smsc (SMSC/Microchip), muge (Microchip) и cdceem (USB Communication Device Class) позволяет атакующему выполнить код на уровне ядра или в пространстве пользователя через подключение к системе вредоносного USB-устройства. Для эксплуатации уязвимости необходимо наличие физического доступа к оборудованию и возможность добиться активации сетевого интерфейса.
— Серия уязвимостей в SQLite, устранённых в выпусках SQLite 3.32.1 и 3.32.2 и способных привести к краху или повреждению данных: CVE-2020-11655, CVE-2020-11656, CVE-2020-13434, CVE-2020-13435, CVE-2020-13630, CVE-2020-13631, CVE-2020-13632.
[Источник](https://www.opennet.ru/opennews/art.shtml?num=53518)
*Новости Linux 🐧:* [@linuxgram](https://t.me/joinchat/AAAAAEi6LSwCGIkGtJdNKw)
Во FreeBSD выявлено несколько уязвимостей, которые устранены в обновлениях 12.1-RELEASE-p8, 11.4-RELEASE-p2 и 11.3-RELEASE-p12:
— CVE-2020-7460 - повышение привилегий в системе через манипуляции с 32-разрядным вызовом sendmsg на 64-разрядной системе. Проблеме не подвержены 32-разрядные системы и системы с ядром, собранным без опции COMPATFREEBSD32 (по умолчанию включена в ядрах GENERIC).
— CVE-2020-7459 - отсутствие должных проверок размера копируемых в буфер данных в Ethernet-драйверах smsc (SMSC/Microchip), muge (Microchip) и cdceem (USB Communication Device Class) позволяет атакующему выполнить код на уровне ядра или в пространстве пользователя через подключение к системе вредоносного USB-устройства. Для эксплуатации уязвимости необходимо наличие физического доступа к оборудованию и возможность добиться активации сетевого интерфейса.
— Серия уязвимостей в SQLite, устранённых в выпусках SQLite 3.32.1 и 3.32.2 и способных привести к краху или повреждению данных: CVE-2020-11655, CVE-2020-11656, CVE-2020-13434, CVE-2020-13435, CVE-2020-13630, CVE-2020-13631, CVE-2020-13632.
[Источник](https://www.opennet.ru/opennews/art.shtml?num=53518)
*Новости Linux 🐧:* [@linuxgram](https://t.me/joinchat/AAAAAEi6LSwCGIkGtJdNKw)
