Dopo curl, anche il progetto Linux diventa CNA, ossia CVE Numbering Authority. Il vento è cambiato!
Anche se l’articolo “curl diventa CVE Numbering Authority e, finalmente, le segnalazioni di bug avranno un senso” non sembra aver riscontrato un successo di pubblico esagerato, grazie alla notizia che stiamo per dare è possibile sottolinearne l’importanza.
Già, perché dopo curl anche il progetto Linux è stato accettato come autorità CNA, CVE Numbering Authority. Lo ha raccontato il maintainer del ramo stabile del Kernel, Greg Kroah-Hartman, in un post apparso sul proprio blog.
È interessante come, per stessa ammissione dell’autore, le ragioni per cui il progetto Linux abbia intrapreso la strada per diventare CNA siano sostanzialmente le stesse del progetto curl.
Greg Kroah-Hartman sottolinea poi come un contributo essenziale al raggiungimento di questo risultato sia stato dato dal progetto Python (che è diventato CNA lo scorso anno) e dal progetto OpenSSF che ha supportato mediante la fornitura dei documenti necessari tanto la candidatura, quanto l’effettiva accettazione.
Dicevamo delle motivazioni. Così come Daniel Stenberg, lo sviluppatore open source svedese e manutentore di curl, anche Greg Kroah-Hartman ha da sempre battagliato contro le segnalazioni anomale, tanto da scrivere in passato un articolo dal titolo CVEs are dead, long live the CVE! (Le CVE sono morte, lunga vita alle CVE!) e raggiungere l’obiettivo CNA dovrebbe a tutti gli effetti garantire al Kernel di avere segnalazioni più sensate e veritiere.
Questo viene spiegato nella patch contenente le informazioni per aprire CVE che è stata inserita nel Kernel Linux, la cui apertura è decisamente eloquente:
Common Vulnerabilities and Exposure (CVE®) numbers, were developed as an unambiguous way to identify, define, and catalog publically disclosed security vulnerabilities. Over time, their usefulness has declined with regards to the kernel project, and CVE numbers were very often assigned in inappropriate ways and for inappropriate reasons. Because of this, the kernel development community has tended to avoid them. However, the combination of continuing pressure to assign CVEs and other forms of security identifiers, and ongoing abuses by community members outside of the kernel community has made it clear that the kernel community should have control over those assignments.
I numeri CVE® (Common Vulnerabilities and Exposure) sono stati sviluppati come un modo inequivocabile per identificare, definire e catalogare le vulnerabilità di sicurezza divulgate pubblicamente. Nel tempo la loro utilità è diminuita rispetto al progetto kernel e molto spesso i numeri CVE sono stati assegnati in modi e per ragioni inadeguati. Per questo motivo, la comunità di sviluppo del kernel tende ad evitarli. Tuttavia, la combinazione tra la continua pressione per assegnare CVE e altre forme di identificatori di sicurezza e gli abusi continui da parte di membri della comunità al di fuori della comunità del kernel ha reso chiaro che la comunità del kernel dovrebbe avere il controllo su tali assegnazioni.
Segue poi la spiegazione del processo che verrà seguito per assegnare le CVE e delle regole necessarie affinché la CVE venga accettata il cui scopo è filtrare in maniera preventiva tutte le segnalazioni insensate con cui i membri del progetto Linux (e curl, e Python, eccetera) hanno dovuto combattere sino ad oggi.
In conclusione questa è certamente la migliore notizia possibile. C’è da scommettere infatti come l’esempio di 2 tra i progetti open-source che, senza timore di smentita, possiamo affermare essere tra i più importanti del mondo, sarà seguito da altri progetti.
Come hanno dimostrato le segnalazioni farlocche che più volte abbiamo raccontato, gridare “Al lupo! Al lupo!” non serve a nulla. Pertanto addio isteria, benvenuta concretezza.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Fonte: http://www.kroah.com/log/blog/2024/02/13/linux-is-a-cna/
Fonte: https://lwn.net/Articles/961961/
Fonte: https://www.miamammausalinux.org/2024/02/dopo-curl-anche-il-progetto-linux-diventa-cna-ossia-cve-numbering-authority-il-vento-e-cambiato/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.