Отрасль программной разработки нуждается в методах определения зрелости и безопасности opensource-проекта. Номинально не существует единой системы оценки надежности разработки, и единственным критерием служит репутация разработчика. Но, как показал печальный случай с Heartbleed, и ее может быть недостаточно. Участники инициативы Core Infrastructure Initiative (CII), учрежденной Linux Foundation для помощи opensource-проектам, которым нужно усилить безопасность своих продуктов, предложили систему специальных бейджей — знаков отличия, которыми будут отмечены проекты, ответственно подходящие к обеспечению безопасности. Эту инициативу возглавили Дэвид Уиллер (David A. Wheeler), специалист по открытому программному обеспечению и исследованиям безопасности в Институте IDA, и Дэн Кон (Dan Kohn), старший консультант CII.

Пока это только общая идея, и организация открыта для предложений со стороны сообщества по поводу того, какие критерии должны быть учтены при присваивании того или иного бейджа.

Первый вариант списка критериев, определяющих зрелость, стабильность и безопасность проекта, уже доступен на GitHub. В текущей версии среди критериев оценки проекта есть как общие рекомендации, так и ряд параметров, имеющих отношение конкретно к безопасности. При анкетировании opensource-проект оценивается по таким критериям, как наличие лицензии, публичного репозитория с поддержкой версий, списка рассылки, инструмента автоматического регрессионного тестирования и хотя бы одного статического инструмента для анализа кода.

В CII надеются, что система бейджей будет служить мотивирующим фактором для более ответственного отношения разработчиков к безопасности своего продукта. Заслужив тот или иной бейдж, проект демонстрирует серьезность по отношению к безопасности и качеству, чтобы истории, подобные Heartbleed, не повторялись.

«Сформировав начальный список критериев, мы надеемся, что сообщество проявит активное участие в нашей инициативе и не только предложит свои варианты критериев, но и поможет разработчикам быстро оценить состояние и надежность проектов, на которые они полагаются при создании своих продуктов, — подчеркнула Эмили Ратлифф (Emily Ratliff), старший директор по безопасности инфраструктурных решений в Linux Foundation. — Бесплатная и логичная система бейджей поможет показать, что новые разработки будут полагаться только на самые надежные opensource-проекты, что в конечном итоге усилит интернет-инфраструктуру во всем мире».

Представители отрасли благосклонно отреагировали на идею CII, признав, что система оценки качества на основе бейджей поможет оздоровить opensource-разработку. «Это не значит, что в проектах с открытым кодом не будет багов — они, конечно же, будут. Но сообщество будет знать, что обладатели бейджей смогут справиться с ними быстрее и эффективнее», — утверждает Паскаль Кок (Pascal Cuoq), глава проекта Frama-C.

Следующим шагом по плану CII станет обучение независимых разработчиков теории и практике обеспечения безопасности ПО.

Результатом подобных инициатив, считают в CII, станет разработка общих рекомендаций по созданию действительно безопасных решений с открытым кодом. CII также планирует спонсировать ключевые проекты, чтобы разработчики могли посвящать созданию и совершенствованию проектов больше времени. Кроме того, поддержка CII означает регулярные ИБ-аудиты, предоставление инфраструктуры для вычислений и тестирования, оплату командировок, тренинги и многое другое. Также CII принимает заявки на гранты.

Категории: Другие темы