Google financia el trabajo de dos desarrolladores para mejorar la seguridad de Linux
Aunque Linux es considerado como un sistema seguro porque lo es, debido a su diseño y a las características que se han ido incorporando a lo largo del tiempo, siempre se puede hacer más, especialmente en el desarrollo directo del kernel Linux, en el que los esfuerzos suelen derivarse a otras áreas.
Así, The Linux Foundation ha anunciado que Google financiará el trabajo a tiempo completo de dos desarrolladores que se centrarán en la seguridad del núcleo; dos mantenedores del kernel Linux con años de experiencia a sus espaldas y que ahora enfocarán toso sus esfuerzos en detectar y corregir las fallas de seguridad que se encuentren.
Teniendo a Google por un lado y a dos desarrolladores por el otro, puede parecer una iniciativa irrisoria, pero la compañía espera que otras organizaciones se animen a hacer lo mismo en con el objetivo de corregir de una vez por todas una larga lista de problemas que ya se sabe que están ahí. La opinión de Google es que apuntar al kernel tendrá un impacto más amplio en la seguridad subyacente de ecosistema de software que se basa en este.
La tarea de uno de estos desarrolladores consistirá en «corregir todos los errores encontrados con los compiladores de Clang / LLVM mientras se trabaja en el establecimiento de sistemas de integración continua para respaldar el trabajo en curso. Una vez que estos objetivos estén bien establecidos, el plan es comenzar a agregar funciones y pulir el kernel utilizando estas tecnologías de compilación».
El segundo mantenedor se dedica ya a «eliminar varias clases de desbordamientos de búfer mediante la transformación de todas las instancias de matrices de un elemento y de longitud cero en miembros de matriz flexible, que es el mecanismo preferido y menos propenso a errores para declarar tales tipos de longitud variable», así como «se está enfocando activamente en corregir errores antes de que lleguen a la línea principal, mientras que también desarrolla de manera proactiva mecanismos de defensa que eliminan clases enteras de vulnerabilidades».
¿Y todo lo demás? Por el modelo colaborativo de desarrollo que emplea Linux, son muchos los ojos que detectan problemas y alertan de ellos, y los encargados de solucionarlos suelen ser los responsables del área en cuestión, pero hay ciertas partes del kernel que son más susceptivas a acumular más errores y menos atención, como las descritas, por lo que es ahí donde se están centrando los esfuerzos ahora.
De momento parece que todo marcha bien, pero porque haya poco que arreglar, sino por todo lo contrario. En The Register han entrevistado a este par de desarrolladores y el titular lo dice todo: «Estamos encontrando errores mucho más rápido de lo que podemos solucionarlos», lo cual no es negativo per se, pero sí indica que la labor que han comenzado no es de las que se terminan pronto.
Hace tiempo además que en The Linux Foundation se están preocupando por mejorar la seguridad no solo del kernel, sino de los componentes de código abierto más populares. En este caso, lo harán en colaboración con Google, que al menos por ahora sigue teniendo en Linux el motor de todos sus grandes proyectos.
¿Y qué dice Linus Torvalds de todo esto? Nada. El jefe se está controlando todo lo que puede, desde que la presión de los nuevos inquisidores de Internet se le echase al cuello por su «comportamiento tóxico» y nos ha dejado sin las declaraciones sin filtro de antaño, como aquella en la que hablaba del circo de la seguridad y de «la gente de OpenBSD masturbándose como monos porque no hay nada más importante que la seguridad».
Con todo, Torvalds se refería a que todos los errores importan, sean relativos a la seguridad o a cualquier otro aspecto. Y algo de razón no le faltaba, como señalaba tiempo después su compañero de batalla Greg Kroah-Hartman en relación a los procedimientos de seguridad aplicados a Linux. No obstante, nunca está de más fijarse en todo lo que se pueda.