背景:内核社区接管 Linux 社区漏洞发布
往年 Linux 内核漏洞发布存在来源不固定、覆盖不全面,有时发布无修复补丁的 CVE 从而形成 0-day 漏洞等问题,给 Linux 内核安全带来了不确定性,为了更规范化运作,2024 年 2 月 13 日,Linux 内核社区被赋予了 CVE 编号管理机构(CNA)的角色,负责定期为 Linux 内核的漏洞分配 CVE 号并发布。
当前,Linux 内核社区针对 CVE 的分配和发布已形成了一套新的运作流程:
关于内核 CVE 的更多详情,可参考社区文档[5]。
在新的运作机制下,Linux 内核的漏洞分析更加专业化,漏洞识别率高,且不会出现 0day 漏洞。但同时 CVE 漏洞数量激增,预计 2024 年全年将超过 4000 个,相较往年增长 10 倍以上,这也为 openEuler 内核的维护带来了挑战。
来自华为的openEuler 内核核心贡献者加入 Linux 社区 CVE 检视团队
openEuler 是国内最大的开源 OS 社区,遵从开源软件项目及其社区在信息安全方面所应承担的义务要求,作为 Linux 根社区的重要贡献组织,一直积极参与 Linux 内核社区的 CVE 计划,更好地推动和完善 openEuler 社区在信息安全领域[6]的规范建设。
2024 年 8 月 23 日在香港组织的“Linux Kernel Maintainer Meetup with Linus and Greg”活动上,在华为任职并在 openEuler 社区担任 Kernel SIG Maintainer 的郭寒军,跟 Linus 和 Greg 谈论起内核 CVE 数量激增的事情,Greg 表示目前 Linux 内核的 CVE 会按照现有机制持续,数量预计不会降低,并鉴于华为一直在 Linux 内核有持续高质量的贡献,提议让华为参与到 Linux 内核的 CVE 的检视当中,为 Linux 内核的 CVE 计划做贡献。
Linux Kernel Maintainer Meetup with Linus and Greg
于是,从 linux 6.10.7 开始,openEuler 社区 Kernel SIG 中三位自华为的核心贡献者龚睿奇、章昌仲和郭寒军加入到 Linux 内核社区的 CVE 审视工作中,成为社区 CVE 检视“五人团”(分别来自 Linux Foundation,Nvidia,Google,Microsoft,Huawei)中的一员[7]。
Linux 内核社区 CVE 检视团队
在 stable 分支有新版本发布时,将共同审视新版本中的各个补丁,形成一份 CVE 候选补丁列表,随后发送给社区 CVE 团队。社区 CVE 团队在收到所有成员的审视结果后,将会结合这些意见形成一份最终的 CVE 补丁列表,并对其中的补丁完成 CVE 编号分配和发布工作。Greg对华为参与 CVE的检视工作也给予了高度认可,不仅帮忙确认了 CVE 候选补丁,还帮忙识别出了其他检视成员没有检视出的 CVE补丁。
openEuler 的核心贡献者成为 Linux 内核社区的 CVE 检视成员,将进一步巩固和提升 openEuler 在漏洞响应和安全方面的能力。参与 Linux 社区 CVE 检视,一方面将从源头上参与提高 CVE 识别质量,另一方面将随时感知 CVE 信息,大大提升 openEuler 社区在高危漏洞上的响应能力。
开源开放,openEuler再进阶?
一直以来,华为都坚持开源开放的核心战略。
以Linux为例,华为作为Linux根技术社区的长期参与者和贡献者,对于Linux内核的贡献在质量、数量和深度上均有着重要影响,并且获得Linux社区和开发者生态的重视与尊重。
例如,华为拥有超过20名Maintainer,处于全球领先水平,并且Maintainer持续为社区做出突出贡献;华为将自家在Linux服务器操作系统领域发现的新特性贡献给Linux内核社区;华为以开放合作的态度积极参与社区讨论、技术创新和解决内核Bug……
此次,华为成功入围Linux内核漏洞CVE检视“五人团”,不仅是自身开源开放战略走向成功的硕果;还是openEuler内核研发团队多年来持续贡献上游社区“厚积薄发”的体现;更是全球顶级开源社区和开源专家对于华为长期参与开源领域工作的高度认可。
事实上,openEuler近年来的茁壮成长,已成为华为开源开放战略的成功代表之一。例如,openEuler内核研发团队近年来持续贡献Linux Kenel上游社区,包括芯片架构、ACPI、内存管理、文件系统、Media、内核文档、针对整个内核质量加固的bugfix及代码重构等;在Linux Kernel 5.10和5.14中,openEuler内核研发团队代码贡献量排名全球第一,十多年来合计向上游社区贡献超过1.7万补丁。
经历多年发展之后,openEuler成长为中国开源创新力量的突出代表。数据显示,openEuler社区开源以来,已吸引超过20000+名开源贡献者,成立100+个特别兴趣小组,1800+家头部企业(处理器厂商/OSV/DBV/云厂商/ISV/客户等)、研究机构和高校加入社区、贡献社区;截至2024年9月底,openEuler的全球下载量已经突破350万,openEuler系统累计装机超过850万套,一个繁荣、开放、创新且可持续发展的开源操作系统生态蔚然壮大。
此外,开源世界有一句著名格言:社区重于代码。开源代码的价值固然巨大,但开源社区的聚合和放大效应更对于产业创新和持续发展有着深远意义。openEuler社区无疑是注重社区合作与发展的代表。2023年12月,openEuler社区宣布已与9大海外头部开源基金会开展深入合作,为150多个国家和地区提供服务,构建出全球开源的新生态,并获得全球开源社区的广泛认可。
如今,openEuler已是全球操作系统领域举足轻重的创新力量,国内外多家主流的操作系统厂商均已发布openEuler商业发行版。面向未来,openEuler在产业化方面会有哪些新探索?面对AI技术浪潮,openEuler会有哪些重要的技术创新方向实现再进阶?openEuler社区又会如何进一步融入全球开源生态体系?
2024年11月15日—16日,操作系统大会&openEuler Summit 2024将揭晓一切!
- [1]http://www.kroah.com/log/blog/2024/02/13/linux-is-a-cna/
- [2]https://www.cve.org/About/Overview
- [3]https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git
- [4]https://lore.kernel.org/linux-cve-announce/
- [5]https://docs.kernel.org/process/cve.html
- [6]https://linuxfoundation.eu/cyber-resilience-act
- [7]https://git.kernel.org/pub/scm/linux/security/vulns.git/log/cve