Проект grsecurity ограничивает доступ к стабильным веткам
Доступ к экспериментальным веткам grsecurity останется открытым, что позволит избежать негативного влияния на сообщества Gentoo Hardened и Arch Linux, так как они используют экспериментальные выпуски grsecurity на базе свежих ядер Linux. Стабильные ветки, основанные на ядрах 3.2 и 3.14, в течение двух недель станут доступны только компаниям, участвующим в финансировании grsecurity.
Сообщается, что стабильные ветки удаётся поддерживать исключительно благодаря спонсорскому финансированию, без которого отдельных стабильных веток бы не существовало. Поэтому несправедливо, что одни платят за разработку и бэкпортирование исправлений из экспериментальных веток, а другие паразитируют, не выполняя требования лицензии GPL и нарушая торговую марку. Нарушения продолжаются несмотря на предупреждения и попытки привлечения юристов.
В качестве примера приводятся действия многомиллиардной корпорации, которая использует наработки grsecurity в своих продуктах и активно упоминает об этом в рекламе. При этом, их продукт основан на устаревшем ядре Linux и устаревшем наборе патчей grsecurity, которые разбавлены собственными проприетарными изменениями, что делает данную связку сомнительной с позиции безопасности, а упоминание grsecurity в контексте такой системы негативно влияет на репутацию проекта. Попытки инициирования судебного разбирательства, в рамках которого представители grsecurity пытались принудить компанию соблюдать требования лицензии GPL и запретить применять торговую марку grsecurity для рекламы своего продукта ни к чему не привели.
Поворотным моментом в принятии решения по переходу к платному распространению актуальных стабильных патчей также стала попытка получить финансирование от фонда Core Infrastructure Initiative (CII), в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии. Представители CII дали понять, что финансирование можно получить на работу по интеграции компонентов grsecurity в основное ядро Linux (ориентация на основное ядро связала бы руки разработчикам grsecurity и заставило бы отказаться от некоторых идей из-за слишком жестких требований по включению кода в mainline и обеспечению совместимости). Выделение средств на продолжение работы над grsecurity в прежнем виде оценено как нецелесообразное, так как средства выделяются не на поддержание разработки, а на создание новых возможностей или решение проблем в важных для инфраструктуры проектах.
Разработчики grsecurity попытались напомнить, что grsecurity не просто ещё один набор патчей к ядру Linux. По сути, grsecurity является проектом для создания новых технологий и практических средств защиты в области информационной безопасности и предотвращения атак. Наработки grsecurity активно применяются многими производителями дистрибутивов и прошивок, а созданные в grsecurity технологии служат основой для многих механизмов защиты в современных операционных системах и программных продуктах. По степени важности для обеспечения безопасности разработка grsecurity значительно важнее уже профинансированных CII инструментов fuzzing-тестирования и статического анализа.
Источник: http://www.opennet.ru/opennews/art.shtml?num=42856
|
0 | Tweet | Нравится |
|