微软要求加入Linux-distros安全开发人员列表

至顶网软件频道消息： 几乎所有Linux的开发工作都是公开进行的。少数例外情况之一是各大公司或黑客向Linux开发人员揭示未修补的安全漏洞。在这些情况下，这些问题首先在封闭的linux-distro列表中显示出来。现在，无论你是否相信，微软推出了自己的Linux发行版，并且已经提出要求加入这个受限制的安全列表。

这个列表——Linux-distros，包括来自FreeBSD、NetBSD的开发人员和大多数主要Linux发行商。包括Canonical、Debian、Red Hat、SUSE和云Linux供应商，例如Amazon Web Services（AWS）和Oracle。

该列表的目的是“报告和讨论尚未公开的安全问题（但即将公布）”。“即将”是指多久呢？该列表的维护人员要求安全漏洞在向组显示之后，保密期不超过14天。例如，英特尔的CPU Meltdown和Spectre安全漏洞就不会在linux-distros上讨论。已公开讨论的安全问题则在OSS-Security邮件列表中处理。

微软Linux内核开发人员Sasha Levin——是的，现在有这样的人——要求微软获得访问该列表的权利，简而言之，因为微软是Linux的发行商。

具体来说，微软提供了几个类似发行版的版本，这些版本不是现有发行版的衍生版本，而是基于开源组件。包括：

Ÿ Azure Sphere：这种基于Linux的物联网设备专用版本可以为已经部署的物联网设备提供安全更新。由于该项目即将结束公开预览并进入GA阶段，我们估计有数百万台这样的设备将被公开使用。

Ÿ 适用于Linux v2的Windows Subsystem（WSL2）：这是一个基于Linux的发行版，在Windows主机上作为虚拟机运行。WSL2目前可供公众预览，并计划在2020年初进入GA阶段。

Ÿ Azure HDInsight和Azure Kubernetes服务等产品为基于Linux的发行版提供公共访问。

此外，Levin表示：“微软通过微软安全响应中心（MSRC）解决安全问题已经有数十年的历史了。虽然我们能够快速（<1-2小时）构建一个版本来解决已经披露的安全问题，但是在我们公开这些版本之前，需要进行大量的测试和验证。成为这个邮件列表的成员将为我们提供额外的时间，以进行广泛的测试。”

所有这些说法都很有道理。此外，Levin在讨论的后续报告中透露：“我们的云上的Linux使用已超过Windows，而且作为MSRC的副产品，我们已经开始接收来自用户和供应商的Linux代码问题的安全报告。对于Windows和Linux常见的问题（例如那些推测性硬件错误）也是如此。”

Linux稳定分支内核维护者Greg Kroah-Hartman支持Levin。 “他是一位长期的内核开发人员，几年来一直在帮助稳定的内核版本，对稳定的内核树具有完全写入权限。”

事实上，Kroah-Hartman“曾经在大约一年前建议微软加入linux-distros。”

“很明显，他们正在成为一家Linux发行商，很高兴看到他们现在会这样做。”

虽然有些人仍然将微软当成是Linux的敌人，但是微软似乎被视为一个完整的Linux开发合作伙伴。正如Canonical Linux内核工程师Tyler Hicks所写：“他们对更大的Linux社区有益，我觉得他们直接参与linux-distros会让其他成员受益。”

预计在未来几天内，将会对微软的会员请求进行投票。如果微软不被允许加入该列表，我会感到非常惊讶。