La Fundación Linux aporta $452 000 a tres proyectos de seguridad open source

Si algo trajo de positivo toda la movida con HeartBleed y Shellshock, fue la toma de conciencia respecto a la necesidad de financiar y dar soporte a proyectos críticos para la seguridad en internet.

Para ello se creo el año pasado la Core Infrastructure Initiative (CII), una iniciativa de la Fundación Linux que cuenta con el respaldo de grandes empresas tecnológicas como Adobe, Bloomberg, Hewlett-Packard, Huawei, VMware, Rackspace, NetApp, Microsoft, Intel, IBM, Google, Fujitsu, Facebook, Dell, Salesforce.com, Amazon y Cisco (en este tipo de listas no suele estar Apple…¿Casualidad? yo no lo creo…).

Si anteriormente habían sido incorporados en su programa, proyectos como NTP, OpenSSH y OpenSSL o más recientemente GnuPG, en esta ocasión los 3 afortunados que se van a repartir casi medio millón de dólares son:

Reproducible Builds

Es un proyecto en el que llevan trabajando distribuciones como Fedora y especialmente Debian desde hace un tiempo y que tiene como objetivo garantizar que la distribución de su software mediante paquetes binarios sea lo más fiable posible.

El objetivo de estes reproducible builds, es garantizar que el código fuente de los programas y aplicaciones no se ha visto alterado durante su proceso de generación en binarios, lo que garantiza que no halla errores o incluso fallos malintencionados, por parte de las personas que empaquetan los programas que pudieran introducir debilidades de seguridad.

Ello se hace mediante un proceso que determina bit a bit si nuestro binario es el resultado del código fuente original y que no se ha añadido nada en ese proceso, permitiendo crear binarios idénticos de una determinada fuente en un entorno definido.

El concepto de reproducible builds también es una buena noticia para los desarrolladores que trabajen sobre versiones antiguas de software, especialmente a la hora de actualizarlos y detectar cualquier tipo de fallo que se hubiera producido a la hora de crear eses binarios.

La Fundación Linux a traves de esta Iniciativa Core les garantiza $200 000, a Holger Levsen y Jérémy Bobbio, los dos principales desarrolladores de Debian que trabajan en este proyecto, con el objetivo también de que las diversas herramientas utilizadas sean portados a otras distribuciones GNU/Linux

The Fuzzing Project

Es un proyecto para mejorar el estado de la seguridad en las aplicaciones de software libre y sus bibliotecas. La técnica utilizada es generar un alto número de inputs al azar en un software determinado y analizar lo que pasa, si el programa falla entonces es que hay defectos que deben corregirse.

Una técnica que parece bastante sencilla pero que es muy efectiva, habiendo ya encontrado varias vulnerabilidades en proyectos tan conocidos como OpenSSL y GnuPG.

En este caso es el investigador de seguridad Hanno Boeck el que recibe $60 000.

False Positive Free Testing

Se trata de desarrollar la versión open source de una herramienta de análisis de código C (TIS Analyzer) de la empresa TrustInSoft’s, la cual debería estar disponible para principios de 2016.

Esta herramienta llamada tis-interpreter será capaz de detectar errores sutiles en programas construidos en lenguaje de programación C, entre ellos diversas vulnerabilidades de seguridad, siendo menos propensa a los falsos positivos que su equivalente comercial.

En principio se pretende probar esta nueva técnica en OpenSSL y después ir extendiéndola a otros programas de software libre.

The Core Infrastructure Initiative apoyará con $192 000 este proyecto.

Al mismo tiempo señalar que Emily Ratliff, una investigadora de seguridad que había trabajado previamente en IBM y AMD, ha sido nombrada Directora de Infraestructura de Seguridad de la Fundación Linux.

Vía | The Linux Foundation