Безопасность программного обеспечения продолжает досаждать разработчикам и пользователям ПО с открытым исходным кодом. Непрерывные усилия по устранению нарушенных проблем безопасности приводят к появлению инновационных решений. Однако, как и в игре «Ударь крота», продолжают появляться новые препятствия безопасности.
Пользователи Ubuntu Linux теперь могут получить бесплатную помощь по безопасности, чтобы немного упростить установку исправлений и техническое обслуживание. Узнайте, почему некоторые специалисты по данным начинают сомневаться в открытом исходном коде. Wolfi недавно появился как первый «(не) дистрибутив Linux». Читайте дальше, чтобы узнать его связь с подводным осьминогом.
Canonical повышает компьютерную безопасность
Ubuntu Pro, расширенная подписка на обеспечение безопасности и соблюдение нормативных требований, теперь доступна в общедоступной
Canonical в среду объявила о новой программе в рамках приверженности компании сообществу и миссии сделать открытый исходный код более доступным для всех. Ubuntu Pro доступен для каждой Ubuntu LTS начиная с 16.04 LTS, и он уже находится в производстве для крупных клиентов, предлагающих глобальные услуги. Пользователи могут получить бесплатную личную подписку на Ubuntu Pro.
«С тех пор, как мы впервые запустили Ubuntu LTS с пятилетним бесплатным обеспечением безопасности для основной ОС, наши корпоративные клиенты просили нас охватить все больше и больше возможностей открытого исходного кода в рамках частных коммерческих соглашений», — сказал генеральный директор Canonical Марк Шаттлворт...
По словам Дерри Ченга, менеджера по продукту Compute Engine, Google уже десять лет сотрудничает с Canonical, чтобы способствовать распространению программного обеспечения с открытым исходным кодом. Это помогает клиентам повысить безопасность и соответствие требованиям для своих производственных рабочих нагрузок.
Canonical в течение многих лет предоставляла своевременные обновления безопасности для основной ОС Ubuntu. Он исправляет критические распространенные уязвимости и воздействия (CVE) в среднем менее чем за 24 часа.
Ubuntu Pro расширяет этот охват до
Canonical копирует исправления безопасности из более новых версий приложений, чтобы предоставить пользователям Ubuntu Pro путь к долгосрочной безопасности без принудительных обновлений. Результатом является десятилетняя стабильность API. «Преобразующие инновации, такие как ИИ и глубокое обучение, используются для открытия новых уровней автоматизации бизнеса, — сказал Джастин Бойтано,
Стандартная подписка Ubuntu Pro включает полный набор обновлений безопасности для всех пакетов Ubuntu. Подписка Canonical Ubuntu Advantage for Infrastructure теперь переименована в Ubuntu Pro (только Infra) без изменения цены или объема.
Подписка на Ubuntu Pro (только Infra) распространяется на базовую ОС и компоненты частного облака, необходимые для крупномасштабных развертываний на «голом железе». Это исключает новый более широкий охват приложений и полезен для организаций, создающих частные облака, которые используют другие гостевые операционные системы для приложений.
Специалисты по обработке и анализу данных делают паузу в открытом исходном коде из-за безопасности
Отчет Anaconda о состоянии науки о данных за 2022 год, опубликованный в прошлом месяце, показывает, что проблемы безопасности, ограниченный талант и этические дилеммы являются самыми большими угрозами для будущего науки о данных.
В отчете приняли участие 3500 респондентов, ориентированных на сообщество разработчиков ПО с открытым исходным кодом, через три группы ученых, профессионалов отрасли и студентов. Результаты выявили три тревожные тенденции, связанные с использованием технологий с открытым исходным кодом.
40% профессиональных респондентов указали, что их организации сократили использование программного обеспечения с открытым исходным кодом в прошлом году
90% профессиональных респондентов указали, что их организации обеспокоены потенциальными последствиями нехватки кадров.
Только 19%
Программное обеспечение с открытым исходным кодом было создано разработчиками и для них. Согласно отчету, теперь это неотъемлемая часть разработки коммерческого программного обеспечения и основа для непрерывных инноваций предприятия. Из опрошенных 20% назвали скорость инноваций и доступность открытого исходного кода наиболее ценными преимуществами его использования.
Большинство организаций используют программное обеспечение с открытым исходным кодом. Из 8% респондентов, чьи организации этого не делают, 54% заявили, что основной причиной является страх перед потенциальными уязвимостями, незащищенностью или рисками; увеличение на 13% по сравнению с отчетом за 2021 год подтверждает повышение осведомленности о безопасности в отрасли в 2022 году.
Новый «Undistro», предназначенный для защиты цепочки поставок программного обеспечения
Массовое стремление к целостности и прозрачности цепочки поставок программного обеспечения заставило организации изо всех сил пытаться добавить такие вещи, как подписи, происхождение и спецификации программного обеспечения (SBOM) к существующим дистрибутивам Linux. Chainguard запустил Wolfi; первая ОС Linux, разработанная для обеспечения безопасности цепочки поставок, в конце прошлого месяца.
Chainguard описывает свой выпуск как (не) дистрибутив, чтобы отделить его от пакета примерно 1000 существующих дистрибутивов Linux, ни один из которых не предназначен для заполнения пробела в безопасности в цепочке поставок программного обеспечения для существующих дистрибутивов Linux. Основатель и технический директор Chainguard — Мэтт Мур, который объединился с другими сотрудниками Google для решения проблем безопасности в цепочке поставок программного обеспечения.
Что отличает Wolfi, так это его стратегия дизайна. Согласно заявлению компании для прессы, Wolfi — это (не) дистрибутив Linux, который создает цепочку инструментов, разработанную с нуля для создания образов контейнеров, отвечающих требованиям современной безопасной цепочки поставок. Его название происходит от названия самого маленького осьминога в мире. Это прозвище Wolfi представляет многие ключевые аспекты (не) дистрибутива Wolfi, от минимализма до гибкости.
Основанный на формате файлов Android Package Kit (APK), гранулярность и независимость Wolfi поддерживают минимальное количество изображений. Релиз предоставляет высококачественный стандарт спецификации программного обеспечения (SBOM) для всех пакетов, а также полностью декларативную и воспроизводимую систему сборки.
Wolfi предоставляет разработчикам безопасную базу по умолчанию, необходимую им для создания программного обеспечения; он масштабируется для поддержки организаций, использующих массивные среды, и обеспечивает необходимый контроль для устранения большинства современных угроз цепочки поставок. «С Wolfi мы можем исправлять что угодно в любое время, включая менеджеры языковых пакетов», — утверждает Chainguard.
Образы Chainguard от Wolfi представляют собой набор образов без дистрибутива, которые поддерживают как musl, так и Glibc. Они поставляются с корпоративной поддержкой, созданной в соответствии со строгими требованиями SLSA 4. Его образы сообщества создаются с помощью GitHub Actions и соответствуют требованиям SLSA 2. Образы Wolfi ежедневно обновляются из исходных источников, чтобы все было свежим.
Для получения дополнительной информации о Wolfi просмотрите изображения в репозитории Chainguard на GitHub, где также содержатся инструкции по использованию. По словам Chainguard, эти образы должны легко интегрироваться в существующие пайплайны. Подпись и SBOM можно получить с помощью инструмента cosign.
