05.05.2016 11:37 Linux Foundation вводит систему оценки качества, безопасности и стабильности СПО

Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал первые результаты продвижения инициативы Best Practices Badge Program для стимулирования повышения безопасности свободных проектов.

В рамках инициативы сформирован набор критериев, составленных с учётом опыта наиболее серьёзно относящихся к безопасности сообществ. Список включает 74 критерия, разделённых по степени важности (обязательные, желательные и рекомендуемые). Выполнение критериев позволяет судить о серьёзном отношении проектов к безопасности, обеспечению качества и поддержанию стабильности кодовой базы. Для оценки соответствия своего проекта предъявляемым критериям подготовлено простое web-приложение.

На базе данных критериев запущена программа сертификации соответствия проектов требованиям качества, безопасности и стабильности. Прошедшие сертификацию проекты получают право размещения на сайте специального знака качества, сигнализирующего о серьёзном отношении разработчиков к безопасности. В настоящее время заявки на проведение проверки сформированы для 114 проектов. Успешно прошли проверку 7 проектов: Curl, GitLab, ядро Linux, OpenBlox, OpenSSL, Node.js и Zephyr. Три проекта признаны не соответствующими критериям (pkgsrc — указание нескольких лицензий в разных файлах, container-tools — сайт без HTTPS, byobu — сайт без HTTPS c TLS). Остальные проекты находятся на стадии проверки.

Ключевые требования к проектам:

• Доступный по постоянному адресу web-сайт, на котором описано назначение проекта, предоставлены ссылки для загрузки, имеется возможность отправки отзыва разработчикам и доступна инструкция по подключению к разработке/отправке изменений;
• Использование типовой свободной лицензии и размещение информации о лицензии в файлах LICENSE или COPYING;
• Поддержка HTTPS на сайте;
• Наличие документации, описывающей установку и запуск, а также наличие спецификации для API;
• Доступность кода через распределённые системы контроля версий и возможность оценки изменений между релизами;
• Присвоение каждому выпуску уникального номера версии в формате семантического версионирования;
• Наличие списка изменений, в котором явно выделены исправленные уязвимости;
• Предоставление средства для отправки разработчикам сообщений об ошибках и отслеживания их исправления. Доступ к архиву сообщений о проблемах. Аргументированная реакция на любые сообщения об ошибках и запросы на улучшения, без игнорирования;
• Наличие безопасного и документированного процесса отправки уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;
• Возможность сборки с использованием штатных открытых инструментов. Возможность включения сборки в режиме вывода предупреждений компилятором и компоновщиком. Возможность запуска статических анализаторов кода;
• Наличие автоматизированного тестового набора, покрывающего большую часть функциональности проекта. Добавление новых тестов для нового кода;
• Автоматизированный запуск тестов для всех изменений и применение динамических проверок с использованием анализаторов, подобных Valgrind, систем fuzzing-тестирования и сканеров безопасности;
• Знание разработчиками методов безопасного программирования и типовых ошибок, приводящих к уязвимостям;
• В случае наличия поддержки шифрования применение публичных протоколов и алгоритмов, задействование уже готовых проверенных и открытых реализаций, использование ключей надлежащей длины, отказ от поддержки проблемных и уязвимых алгоритмов, использование алгоритмов с Forward secrecy, хранение любых паролей в форме хэшей с солью, применение надёжных генераторов случайных чисел.

1. Главная ссылка к новости (http://www.linuxfoundation.org…)
2. OpenNews: Организация Linux Foundation представила платформу для критически важных технических систем
3. OpenNews: Инициативы Linux Foundation, касающиеся безопасности СПО и диагностики производительности
4. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
5. OpenNews: Сформирован рейтинг СПО, требующего первоочередного аудита безопасности
6. OpenNews: Фонд свободного ПО сертифицировал четвёртый ноутбук

05.05.2016 10:29 Выпуск GnuPG 2.1.12

Состоялся релиз инструментария GnuPG 2.1.12 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.1 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.0 допускаются только корректирующие исправления, а 1.4 является старой стабильной веткой, подходящей для устаревших систем и встраиваемых решений.

Изменения в GnuPG 2.1.12:

• В «gpg —edit-key» добавлена новая тестовая команда «change-usage». В режиме «—edit-key» обеспечено выявление и исправление нарушений порядка следования цифровых подписей;
• Удалены дополнительные запросы при создании ключей Curve25519;
• В «gpg —quick-sign-key» улучшен выбор идентификатора пользователя;
• В «gpg —fetch-key» реализована возможность использования системного списка корневых сертификатов удостоверяющих центров;
• Экспериментальная поддержка сервиса Web Key Directory для определения местоположения ключа;
• В GPG agent добавлена поддержка формата защиты секретных ключей openpgp-s2k-ocb-aes и возможность чтения из нового расширенного формата секретных ключей;
• Во встроенном драйвере CCID задействован новый API libusb 1.0;
• В dirmngr-client обеспечено автоопределение формата PEM;
• В g13 добавлена экспериментальная поддержка dm-crypt.

1. Главная ссылка к новости (http://permalink.gmane.org/gma…)
2. OpenNews: Сообщество пришло на помощь основному разработчику GnuPG, который оказался на грани разорения
3. OpenNews: Выпуск GnuPG 2.1.0 c поддержкой шифрования по эллиптическим кривым
4. OpenNews: Обновление GnuPG с устранением уязвимости, позволяющей восстановить закрытые RSA-ключи
5. OpenNews: Автор GnuPG прекращает передачу имущественных прав Фонду СПО

04.05.2016 20:33 Началось формирование ежедневных сборок KDE Neon на базе Wayland

04.05.2016 19:44 Выпуск браузера Opera 37

Представлен выпуск браузера Opera 37, доступный для платформ Linux, OS X и Windows. Это двенадцатый стабильный выпуск новой ветки браузера, основанной на кодовой базе Chromium, в которой реализована поддержка Linux.

В новой версии:

• Встроен блокировщик рекламы и блоков отслеживания пользователей. Блокировка производится по списку EasyList. По оценке разработчиков встроенная функция блокирования рекламы позволяет на 89% увеличить скорость загрузки перегруженных рекламой страниц по сравнению с Microsoft Edge без блокировщика рекламы, на 21% по сравнению с применением Firefox с установленным расширением Adblock Plus и на 45% по сравнению с Chrome с Adblock Plus. Высокая производительность достигается за счёт интеграции блокировщика в движок браузера и полного контроля процесса загрузки страницы.
  

  При использовании блокировщика также наблюдается значительное снижение потребления памяти (до 47% при открытии 10 вкладок с нагруженными рекламой сайтами);

  

• Реализована функция «Video pop out», позволяющая перетащить воспроизводимое на web-странице видео в отдельное окно, содержащее только видео без сопутствующих элементов навигации. Например, данный режим удобен для продолжения работы с другими сайтами не прерывая показа видео;
  
• Браузерный движок обновлён до Chromium 50 с включением представленных в нём изменений для web-разработчиков.

1. Главная ссылка к новости (http://www.opera.com/blogs/des…)
2. OpenNews: В браузер Opera встроен VPN
3. OpenNews: Первый стабильный выпуск web-браузера Vivaldi, развиваемого одним из основателей Opera Software
4. OpenNews: В браузер Opera встроен блокировщик рекламы
5. OpenNews: Выпуск браузера Opera 35
6. OpenNews: Выпуск web-браузера Chrome 50

04.05.2016 12:55 Релиз распределённой системы управления версиями Mercurial 3.8

Состоялся релиз распределённой системы управления версиями Mercurial 3.8. Код Mercurial написан на языке Python (требующие высокой производительности части оформлены в виде модулей на Си) и распространяется под лицензией GPLv2+. Среди проектов, использующих Mercurial, можно выделить следующие: Mozilla, OpenOffice.org, OpenSolaris, NetBeans, OpenJDK, Nginx, Xine и W3C.

Основные изменения:

• Устранена опасная уязвимость CVE-2016-3105, которая может привести к выполнению кода злоумышленника при выполнении конвертации Git-репозитория с использованием расширения convert;
• В состав включено разработанное компанией Facebook расширение fsmonitor, которое использует средства отслеживания изменений в ФС (inotify, FSevents и т.п.) для ускорения выполнения команд, подобных «hg status», «hg diff» и «hg commit». Ускорение достигается за счет обработки событий изменения от ФС вместо проверки перебором всех файлов;
• Добавлено экспериментальное расширение automv, которое автоматизирует определение фактов переименования и копирования файлов в репозитории без применения команд «hg mv» и «hg cp»;
• Добавлен клиент chg, предоставляющий альтернативный способ выполнения команд Mercurial и работающий значительно быстрее. В отличие от штатного интерфейса, целиком написанного на языке Python, chg разделён на клиентскую и серверную часть: клиент написан на Си, а сервер на Python.

1. Главная ссылка к новости (http://mathiasdm.com/2016/05/0…)
2. OpenNews: Создатель системы управления версиями Mercurial передаёт проект в руки сообщества
3. OpenNews: Выпуск распределённой системы управления версиями Mercurial 3.5
4. OpenNews: Выпуск распределённой системы управления версиями Mercurial 3.4
5. OpenNews: В Git и Mercurial устранена критическая уязвимость, проявляющаяся в Windows и OS X
6. OpenNews: Выпуск распределённой системы управления версиями Mercurial 3.0