Microsoft要求加入私有Linux安全开发人员列表

几乎所有Linux的开发工作都是公开进行的。几乎。少数例外情况之一是公司或黑客向Linux开发人员揭示未修补的安全漏洞。在这些情况下，这些问题首先在封闭的linux-distro列表中显示出来。现在，微软，无论信不信 - 滚动自己的Linux发行版，已经要求加入这个受限制的安全列表。这个列表，linux-distros，包括来自FreeBSD，NetBSD和大多数主要Linux发行商的开发人员。这包括Canonical，Debian，Red Hat，SUSE和云Linux供应商，如Amazon Web Services(AWS)和Oracle。该清单的目的是“报告和讨论尚未公开的安全问题(但即将公布)”。多久?该列表的维护人员要求在向组显示安全漏洞后保密不超过14天。例如，英特尔的CPU Meltdown和Spectre安全漏洞不会在linux-distros上讨论过。已公开讨论的安全问题在OSS-Security邮件列表中处理。

微软Linux内核开发人员Sasha Levin - 是的，现在有这样的人 - 要求微软获得访问该列表的权利，因为简而言之，微软是Linux的经销商。具体来说，Microsoft提供了几个类似于发行版的构建，这些构建不是现有发行版的衍生版，而是基于开源组件。这些是：Azure Sphere：这种基于Linux的物联网设备可以为各种事物提供已部署物联网设备的安全更新。由于该项目即将退出GA阶段的公开预览，我们预计数百万台这些设备将被公开使用。适用于Linux的Windows子系统v2：基于Linux的发行版，作为Windows主机上的虚拟机运行。WSL2目前可供公众预览，并计划在2020年初用于GA。

产品如Azure的HDInsight和Azure的Kubernetes服务提供了一个基于Linux发行版的公共访问。此外，Levin问他是因为：“Microsoft通过[Microsoft安全响应中心]MSRC解决安全问题已有数十年的历史。虽然我们能够快速(<1-2小时)创建一个构建来解决已披露的安全问题，在我们公开这些构建之前，我们需要进行大量的测试和验证。成为这个邮件列表的成员将为我们提供额外的时间来进行广泛的测试。“所有这些都很有道理。此外，Levin在讨论的后续报告中透露：“我们的云上的Linux使用已超过Windows，因为MSRC的副产品已开始接收来自用户和供应商的Linux代码问题的安全报告。对于Windows和Linux常见的问题(例如那些推测性硬件错误)也是如此。“

Linux稳定分支内核维护者Greg Kroah-Hartman为Levin担保。“他是一位长期的内核开发人员，几年来一直在帮助稳定的内核版本，对稳定的内核树具有完全写入权限。”事实上，Kroah-Hartman“建议微软在大约一年前加入linux-distros，当时很明显他们正在成为一个Linux发行版，很高兴看到他们现在正在这样做”。虽然有些人仍然认为微软是Linux所有东西的敌人，但微软似乎被视为一个完整的Linux开发合作伙伴。正如Canonical Linux内核工程师Tyler Hicks写道：“他们对更大的Linux社区有益，我觉得他们直接参与linux-distros会让其他成员受益。”预计未来几天将对微软的会员请求进行投票。如果微软不被列入名单，我会感到惊讶。