LLVM 13.0 llega con mejoras de soporte y mas

 

LLVMDespués de seis meses de desarrollo, se acaba de presenta el lanzamiento de la nueva versión del proyecto «LLVM 13.0» compatible con GCC (compiladores, optimizadores y generadores de código) que compila programas en un código de bits intermedio de instrucciones virtuales similares a RISC (una máquina virtual de bajo nivel con un sistema de optimización multinivel).

En esta nueva versión se han añadido diversos cambios y novedades de las cuales se destacan las mejoras de soporte asi como también la implementación de las nuevas características de C++ 20 y C++ 2b  entre otras cosas más.

Principales novedades de LLVM 13.0

En esta nueva versión podremos encontrar que se agregó la opción «-ehcontguard» para usar la tecnología CET (Windows Control-flow Enforcement Technology) para proteger en la etapa de manejo de excepciones de la ejecución de exploits construidos usando técnicas de Programación Orientada al Retorno (ROP).

Además, el proyecto debuginfo-test ha sido renombrado a cross-project-tests y está diseñado para probar componentes de varios proyectos, sin limitarse a la información de depuración y el sistema de compilación proporciona soporte para compilar varias distribuciones, por ejemplo, una con utilidades y la otra con bibliotecas para desarrolladores.

Por otra parte Libc++ continúa implementando nuevas características de los estándares C++ 20 y C++ 2b, incluida la finalización de la biblioteca «concepts», además de que se agregó soporte para std :filesystem para Windows basada en MinGW, también archivos de encabezado separados <algorithm>, <iterator> y <utility> y se agregó la opción de compilacion LIBCXX_ENABLE_INCOMPLETE_FEATURES para deshabilitar los archivos de encabezado con una funcionalidad implementada de manera incompleta.

Mientras que el backend para la arquitectura AArch64 admite las extensiones Armv9-A RME (Realm Management Extension) y SME (Scalable Matrix Extension) en ensamblador, se agregó compatibilidad con ISA V68/HVX al backend de la arquitectura Hexagon y el backend x86 ha mejorado la compatibilidad con los procesadores AMD Zen 3 y se agregó soporte para APU GFX1013 RDNA2 al backend AMDGPU.

También se han ampliado las capacidades del enlazador LLD, que implementa el soporte para procesadores Big-endian Aarch64, y el backend Mach-O se ha llevado a un estado que permite enlazar programas ordinarios. Incluye las mejoras necesarias para vincular Glibc mediante LLD.

La utilidad llvm-mca (Machine Code Analyzer) agrega soporte para procesadores de tubería superescalares en orden, como ARM Cortex-A55.

El depurador LLDB para la plataforma AArch64 proporciona soporte completo para la autenticación de puntero, MTE (MemTag, Memory Tagging Extension) y registros SVE, además de que se han agregado comandos que le permiten vincular etiquetas a cada operación de asignación de memoria y organizar, al acceder a la memoria, verificando el puntero que debe estar asociado con la etiqueta correcta.
El depurador LLDB y la interfaz Fortran – Flang se han agregado a los ensamblados binarios generados por el proyecto.

En cuanto a las mejoras que se destacan de Clang 13.0:

  • Se ha implementado soporte para llamadas de cola garantizadas (una llamada de subrutina al final de una función, que forma una recursividad de cola si la subrutina se llama a sí misma).
  • Se agregaron las banderas «-Wunused-but-set-parameter» y «-Wunused-but-set-variable» para mostrar una advertencia si un parámetro o variable se establece pero no se usa.
  • Se agregó la bandera «-Wnull-pointer-subtraction» para mostrar una advertencia si el código puede llevar a un comportamiento indefinido debido al uso de un puntero nulo en las operaciones de resta.
  • Se agregó el indicador «-fstack-use» para generar para cada archivo de código un archivo «.su» adicional que contiene información sobre el tamaño de los marcos de la pila para cada función definida en el archivo procesado.
  • Se ha agregado un nuevo tipo de salida al analizador estático, «sarif-html», que da como resultado la generación de informes simultáneamente en formatos HTML y Sarif.
  • Se agregó una nueva verificación para allocClassWithName. Cuando se especifica la opción «-analyzer-display-progress», se muestra el tiempo de análisis de cada función. El analizador de puntero inteligente (alpha.cplusplus.SmartPtr) está casi listo.
  • Se implementó el soporte para las directivas de transformación de bucle («#pragma omp unrol» y «#pragma omp tile»), definidas en la especificación OpenMP 5.1.
  • Se ha agregado una gran parte de los nuevos cheques a linter clang-tidy.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/2YHhKbV
via IFTTT

Ya fue liberada la nueva version de OpenSilver 1.0, la reimplementación open source de Silverlight

OpenSilver_Logo

Después de poco más de año y medio de la presentación del proyecto OpenSilver, se dio a conocer la liberación de la primera versión estable, en la cual el proyecto que ofrece una implementación de código abierto de la plataforma Silverlight, que permite crear aplicaciones web interactivas utilizando tecnologías C#, XAML y .NET.

Recordemos que Microsoft detuvo el desarrollo de la funcionalidad de Silverlight en 2011, y el 12 de octubre de 2021 se realizara el cese completo del mantenimiento de la plataforma. Como es el caso de Adobe Flash, el desarrollo de Silverlight se minimiza en favor del uso de tecnologías estándar basadas en Web. Hace unos 10 años, una implementación de código abierto de Silverlight, Moonlight ya se estaba desarrollando sobre la base de Mono, pero su desarrollo se detuvo debido a la falta de demanda de la tecnología por parte de los usuarios.

El proyecto OpenSilver está intentando revivir la tecnología Silverlight para extender la vida útil de las aplicaciones Silverlight existentes, ya que Microsoft termina apoyando la plataforma y el soporte del navegador para complementos. Sin embargo, los defensores de .NET y C# también pueden usar OpenSilver para crear nuevos programas. Para el desarrollo de aplicaciones y la migración desde la API de Silverlight a llamadas de OpenSilver equivalentes, se sugiere utilizar un complemento especialmente preparado para el entorno de Visual Studio.

OpenSilver se basa en el código fuente abierto de Mono (mono-wasm) y Microsoft Blazor (parte de ASP.NET Core), y para su ejecución en el navegador compila aplicaciones en el middleware WebAssembly.

OpenSilver está evolucionando con el proyecto CSHTML5, que permite compilar aplicaciones C#/XAML/.NET en JavaScript que se pueden ejecutar en un navegador. OpenSilver amplía la base de código CSHTML5 con la capacidad de compilar C#/XAML/.NET en WebAssembly en lugar de JavaScript.

Las aplicaciones OpenSilver son compatibles con todos los navegadores que admiten WebAssembly, que incluye los principales navegadores (Edge, Chrome, Firefox, Safari …), en todas las plataformas principales (Windows, macOS, iOS, Android, Linux, ChromeOS), sin que los usuarios tengan que instalar un complemento, de acuerdo con Userware.

Tal como está, OpenSilver 1.0 es totalmente compatible con todas las capacidades principales del motor Silverlight, incluido el soporte completo para C # y XAML, así como la implementación de la mayoría de las API de la plataforma suficientes para usar bibliotecas C # como Telerik UI, WCF RIA Servicios, PRISM y MEF.

Además, OpenSilver también proporciona algunas características avanzadas que no se encuentran en el Silverlight original, como soporte para C # 9.0, .NET 6 y versiones más recientes del IDE de Visual Studio, y compatibilidad con todas las bibliotecas de JavaScript.

De los planes para el futuro indicaron su intención de implementar el próximo año el soporte de Visual Basic (VB.NET) ahora es compatible además del lenguaje C#, además de proporcionar los medios para migrar aplicaciones WPF (Windows Presentation Foundation). El proyecto también planea implementar soporte para el entorno de desarrollo de Microsoft LightSwitch y garantizar la compatibilidad con las bibliotecas populares .NET y JavaScript, que se planea entregar en forma de paquetes listos para usar.

El código del proyecto está escrito en C# y se distribuye bajo la licencia MIT. Las aplicaciones compiladas de Silverlight se pueden ejecutar en cualquier navegador móvil y de escritorio habilitado para WebAssembly, pero la compilación directa solo es posible actualmente en Windows mediante Visual Studio.

OpenSilver se distribuye como un paquete NuGet (en NuGet.org) y como una extensión VSIX para Visual Studio 2019 (o superior) que contiene las plantillas del proyecto.

Para crear un nuevo proyecto de tipo OpenSilver, se recomienda descargar primero las plantillas del proyecto. Para hacerlo, se deben de dirigir al sitio web oficial de OpenSilver y dar clic en Descargar, iniciar sesión con su cuenta de Microsoft y descargar el archivo OpenSilver.VSIX. Esta extensión para Visual Studio instalará plantillas de proyecto y otros elementos como el editor XAML.

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles y más sobre el proyecto en el siguiente enlace.

from Linux Adictos https://ift.tt/3Buw2e8
via IFTTT

Jobs no la inventó. La verdadera historia de la interfaz gráfica.

Jobs no la inventó

El décimo aniversario de la muerte de Steve Jobs, sirvió de excusa para que los fanboys y columnistas que quieren ganarse el beneplácito de Apple insistan en presentarlo como el genio máximo de la industria de los ordenadores cuando, más allá de un par de aportes relevantes que mencionamos en un artículo anterior, no fue mejor,(Ni peor) que la mayoría de sus colegas.
De todas maneras, el aniversario es una buena excusa para recordar a los verdaderos inventores.

Jobs no los inventó. Fueron ellos

Interfaz gráfica y ratón

Muchos creen que el primer ordenador en venir con interfaz gráfica fue el Macintosh. Lo cierto es que, aunque fue el primer producto masivo en tenerla la idea venía desde mucho antes. Eso no es obstáculo para que en la película biográfica de Jobs se acuse a Bill Gates de haberle robado la idea.

Según parece la historia es la siguiente:
Cuando Steve Jobs contrató a Microsoft para que fuera el primer desarrollador de software de aplicaciones de terceros para el Macintosh, exigió a la empresa que no produjera  ningún software para terceros que utilizara un ratón hasta al menos un año después de la primera versión del Macintosh

A mediados de 1983, Microsoft había creado prototipos utilizables de sus programas de hojas de cálculo y gráficos empresariales, Multiplan y Chart y programadores de ambas empresas conversaban varias veces por semana para resolver dudas y solucionar problemas. Pero, desde Apple notaron que los de Microsoft preguntaban cosas que no necesitaban saber y comenzaron a sospechar espionaje industrial. Fueron  a Jobs con sus dudas,  pero este las desestimo diciendo que Microsoft no era capaz de imitar productos Apple.

En noviembre de 1983,  Microsoft anunció un nuevo entorno de interfaz gráfica de usuario del sistema, basado en el ratón, llamado Windows y una versión para ratón de Microsoft Word. Jobs montó en cólera  y convocó a Gates..
La respuesta de Gates pasó a la historia

Bueno, Steve, creo que hay más de una forma de verlo. Creo que es más bien que ambos teníamos un vecino rico llamado Xerox y yo entré en su casa para robar el televisor y descubrí que tú ya lo habías robado».

El vecino rico de Microsoft y Apple

Xerox era una empresa fabricante de fotocopiadoras que en previsión de que los documentos electronicos reemplazaran al papel, decidió crear un laboratorio de investigación que le permitiera liderar en las nuevas tecnologías. Xerox PARC.

Una de las primeras cosas que inventaron fue la impresora láser, este tipo de impresoras necesitaba de una interfaz gráfica para preparar adecuadamente los documentos. Como no existía ningún ordenador que la tuviera, lo inventaron en 1973.

El Alto, tal era su nombre, tenía una pantalla con el mismo tamaño y la misma orientación que una página impresa, y presentaba gráficos completos basados en mapas de bits con una resolución de 606 por 808. Cada píxel podía activarse y desactivarse de forma independiente. También venía un teclado y un ratón con tres botones. El cursor del ratón tenía la conocida forma de flecha con punta diagonal que conocemos hoy en día, además de transformarse en otras formas dependiendo de la tarea que se realizara.

El gestor de archivos mostraba los listados de directorios en dos columnas. Además se desarrolló un procesador de textos gráfico, llamado Bravo, que podía mostrar diferentes fuentes y tamaños de texto en la pantalla al mismo tiempo, pero tenía una interfaz de usuario ligeramente diferente, con menús en la parte inferior en lugar de en la superior. Tampoco faltaba un editor de gráficos en mapa de bits que funcionaba de forma muy parecida a como lo hace hoy Paint, pero también tenía su propia y diferente interfaz de usuario.

Pronto se dieron cuenta que necesitaban algo más complejo y desarrollaron SmallTalk.

Las ventanas individuales en Smalltalk estaban enmarcadas por un borde gráfico, y destacaban sobre el patrón gris del fondo debajo de ellas. Cada una de ellas contaba una barra de título en la línea superior de cada ventana que podía utilizarse para identificar la ventana y moverla por la pantalla. Las ventanas podían superponerse a otras en la pantalla, y una ventana seleccionada se desplazaba a la parte superior de la «pila». De manera simultánea aparecieron los «iconos», pequeñas representaciones icónicas de programas o documentos sobre las que se podía hacer clic para ejecutarlos o manipularlos.Y, por si esto fuera poco, de ahí vienen los menús emergentes,las barras de desplazamiento, los botones de radio y los cuadros de diálogo.

from Linux Adictos https://ift.tt/3lsDKjg
via IFTTT

10 años sin Jobs, un visionario al estilo Mr Magoo

10 años sin Jobs

Toda actividad humana necesita mitos. Ejemplos que estimulen y marquen el rumbo a los que vienen detrás. Héroes en la encantadora jerga de los sociólogos especializados en organizaciones.

Por supuesto, que es normal que los mitos exageren méritos y disimulen defectos. Pero, hay límites que no pueden pasarse, Los de ningunear a otras personas no reconociéndoles sus aportes.

Si uno tuviera que creerle a algunos historiadores y columnistas. Steve Jobs creó la industria informática en seis días  y, al séptimo dió su famoso discurso en Stanford. Claro, que tuvo ayuda. Según un programa del canal History eran los extraterrestres los de las ideas.

No soy un odiador, reconozco dos aportes importantes de Steve Jobs a la industria de los ordenadores. El primero fue haber instalado la idea de que usar un ordenador puede ser una experiencia placentera y bonita desde el punto de vista estético. El segundo, uno que los internautas linuxeros deberíamos agradecerle eternamente.

El 29 de abril de 2010, Steve Jobs, anunció que ni el iPhone, ni el iPod Touch ni el iPad ejecutarían contenido de Flash. Fundamentó la decisión en el aumento del consumo de energía, los «cuelgues» en los dispositivos, el escaso rendimiento en los dispositivos móviles, la pésima seguridad, la falta de soporte táctil y el deseo de evitar «una capa de software de terceros que se interponga entre la plataforma y el desarrollador».

Sin ponerse colorado, se quejó que el producto de Adobe era «según casi cualquier definición, Flash es un sistema cerrado».

Adobe terminaría discontinuando Flash, cuyo soporte terminó el año pasado.

A partir de ese momento, HTML 5, Javascript y CSS3 se convirtieron en los estándares para reproducción multimedia en la web.

10 años sin Jobs. Un visonario al estilo Mr Magoo

La opinión de Stallman

En medio del torrente de reseñas elogiosas, publicadas al momento de su muerte,  Richard Stallman puso la nota discordante.

Ha muerto Steve Jobs, pionero en hacer genial la idea del ordenador como una cárcel ,diseñada para separar a los tontos de su libertad.

Cómo dijo el alcalde de Chicago Harold Washington, del corrupto ex alcalde Daley No me alegro de que haya muerto, pero si de que ese haya ido. Nadie merece morir: ni Jobs, ni el señor Bill ni siquiera los culpables de danos mayores que el suyo. Pero, todos merecemos el fin de la influencia maligna de Jobs En los ordenadores de la gente.

Por desgracia esa influencia continúa a pesar de su ausencia. Solo podemos esperar que sus sucesores,al intentar continuar su legado, sean menos eficaces.

El día en que se fue de Apple

Los apologistas de Jobs insisten en presentarlo como un visionario adelantado a su tiempo, pero, la realidad es que la mayoría de las veces no pegaba una.

Entrada la década del 80, Apple decidió encargar la dirección de la empresa a un profesional, El elegido fue John Sculley, antiguo ejecutivo de Pepsico. Jobs, mientras tanto se encargó de un equipo a cargo de diseñar un nuevo ordenador, el Macintosh.

Jobs esperaba que la nueva computadora vendiera 80.000 unidades a finales de 1984 por lo que produjeron una cantidad para cumplir con la demanda. Lamentablemente, esa demanda nunca se produjo y fue enteramente por culpa de Jobs.

El Macintosh  no tenía suficiente memoria (128 KB contra 512 de la competencia) y el catálogo de aplicaciones era limitado. Además. muchos miembros del equipo de Apple II que representaban el 70% de ingresos de la empresa, se sintieron despreciados y se fueron.

Steve Jobs  culpó a todo el mundo del fracaso, menos a él mismo. Finalmente quiso echar a Sculley aprovechando que el ejecutivo iba a partir de viaje. Enterado Sculley, reunió al directorio de la empresa y logró un apoyo unánime destituyendo a Jobs de sus cargos directivos..

Jobs se enojó, vendió todas sus acciones menos una. (Supongo que para seguir incordiando en las reuniones de accionistas) y se fue de la empresa.

Libre del lastre, Sculley logró encontrar un nicho de mercado para las Macintosh (Las publicaciones de escritorio) reestructuróo la empresa reduciendo la plantilla y convenció a las empresas de software de producir títulos para esta plataforma.

from Linux Adictos https://ift.tt/3DumGzo
via IFTTT

Flatpak 1.12 mejora la gestión del sub-sandbox para beneficiar a Steam

Flatpak 1.12

No sé si habrá muchos usuarios que pondrán en el primer puesto del podium de paquetes de nueva generación a los snap de Canonical. Por lo que yo he leído a la comunidad, la mayoría preferimos los flatpak, aunque algunos prefieren las AppImage porque son descargar y empezar a usar. Preferencias aparte, la noticia que tuvo lugar ayer fue el lanzamiento de Flatpak 1.12, una nueva versión que ha llegado acompañada de una menos nueva.

Y es que Flatpak 1.12 ha llegado al mismo tiempo que Flatpak 1.10.4, habiéndose lanzado el segundo para corregir una vulnerabilidad en el soporte para portal. El fallo de seguridad ha sido el resultado de algunas nuevas llamadas del sistema del kernel que no han sido bloqueadas por las reglas SECCOMP, lo que son aplicaciones que podrían crear sub-sandboxes para confundir la verificación del mecanismo de aislado del portal.

Flatpak 1.12 ha llegado junto a Flatpak 1.10.4

«Un informador anónimo descubrió que las aplicaciones Flatpak con acceso directo a los sockets AF_UNIX, como los utilizados por Wayland, Pipewire o pipewire-pulse, pueden engañar a los portales y otros servicios de host-OS para que traten a la aplicación Flatpak como si fuera un proceso de host-OS ordinario, no sandboxed, manipulando el VFS utilizando syscalls recientes relacionados con el montaje que no están bloqueados por el filtro denylist seccomp de Flatpak, con el fin de sustituir un crafted /.flatpak-info o hacer que ese archivo desaparezca por completo.»

Eso en cuanto a la serie 1.10. Al mismo tiempo, y como reza el titular de este artículo, se ha lanzado Flatpak 1.12, con la novedad más destacada de un control mejorado sobre los sub-sandboxes, y el software que más se beneficiará de esto es la versión Flatpak de Steam.

Flatpak 1.12 y 1.10.4 ya han sido lanzados oficialmente, y pronto empezarán a llegar a los repositorios oficiales de la mayoría de distribuciones Linux.

from Linux Adictos https://ift.tt/3Ftqov8
via IFTTT

Flatpak 1.12 mejora la gestión del sub-sandbox para beneficiar a Steam

Flatpak 1.12

No sé si habrá muchos usuarios que pondrán en el primer puesto del podium de paquetes de nueva generación a los snap de Canonical. Por lo que yo he leído a la comunidad, la mayoría preferimos los flatpak, aunque algunos prefieren las AppImage porque son descargar y empezar a usar. Preferencias aparte, la noticia que tuvo lugar ayer fue el lanzamiento de Flatpak 1.12, una nueva versión que ha llegado acompañada de una menos nueva.

Y es que Flatpak 1.12 ha llegado al mismo tiempo que Flatpak 1.10.4, habiéndose lanzado el segundo para corregir una vulnerabilidad en el soporte para portal. El fallo de seguridad ha sido el resultado de algunas nuevas llamadas del sistema del kernel que no han sido bloqueadas por las reglas SECCOMP, lo que son aplicaciones que podrían crear sub-sandboxes para confundir la verificación del mecanismo de aislado del portal.

Flatpak 1.12 ha llegado junto a Flatpak 1.10.4

«Un informador anónimo descubrió que las aplicaciones Flatpak con acceso directo a los sockets AF_UNIX, como los utilizados por Wayland, Pipewire o pipewire-pulse, pueden engañar a los portales y otros servicios de host-OS para que traten a la aplicación Flatpak como si fuera un proceso de host-OS ordinario, no sandboxed, manipulando el VFS utilizando syscalls recientes relacionados con el montaje que no están bloqueados por el filtro denylist seccomp de Flatpak, con el fin de sustituir un crafted /.flatpak-info o hacer que ese archivo desaparezca por completo.»

Eso en cuanto a la serie 1.10. Al mismo tiempo, y como reza el titular de este artículo, se ha lanzado Flatpak 1.12, con la novedad más destacada de un control mejorado sobre los sub-sandboxes, y el software que más se beneficiará de esto es la versión Flatpak de Steam.

Flatpak 1.12 y 1.10.4 ya han sido lanzados oficialmente, y pronto empezarán a llegar a los repositorios oficiales de la mayoría de distribuciones Linux.

from Linux Adictos https://ift.tt/3Ftqov8
via IFTTT

helloSystem 0.6: la nueva versión del sistema operativo basado en FreeBSD

helloSystem

Quizás no lo conocías, pero helloSystem es un sistema operativo de código abierto bastante interesante. Se basa en FreeBSD y está creado por Simon Peter, que también creó el sistema de paquetes AppImage. Ahora también ha liberado la versión 0.6 de este sistema operativo, tomando como base FreeBSD 12.2.

Además de tener esa sólida base, helloSystem 0.6 también cuenta con otras ventajas, como un escritorio bastante parecido a macOS, para que los fanáticos de Apple se sientan como en casa y sin las políticas y restricciones que pueda implementar esta compañía en su sistema original. También tiene semejanzas con muchas distros GNU/Linux modernas, es decir, libre de las complicaciones inherentes, para que el usuario pueda tener un control total y sin demasiados quebraderos de cabeza.

Puedes descargar la imagen ISO de helloSystem de forma gratuita, con un peso de 1.4GB y lo puedes hacer tanto por descarga directa como por torrent. Debes saber que contiene un gran surtido de software preinstalado, como es habitual en las distros. Con el paquete panda-statusbar de CyberOS, un dock basado en cyber-dock también de ese mismo grupo de desarrollo, un gestor de paquetes Filer, y navegador Falkon entre otros.

Como FS o sistema de archivos, usa ZFS por defecto, aunque también es compatible con exFAT, NTFS, ext4, HFS+, XFS y MTP. También cabe destacar que se han desarrollado una serie de aplicaciones propietarias de este proyecto, como un instalador, un configurador, una utilidad de almacenamiento virtual para montar un árbol FS, para recuperar datos ZFS, interfaz par aparticionamiento de discos, configuración de red, etc. Estas usan lenguaje Python y se basan en la biblioteca gráfica Qt.

Y ahora con la versión helloSystem 0.6 llegará con gran cantidad de novedades y correcciones con respecto a la versión anterior. Y si te interesa conocer todos los cambios de esta última versión, puedes ver el registro completo aquí.

from Linux Adictos https://ift.tt/3mCt3Kl
via IFTTT

Google dono 1 millon de dolares para mejorar la seguridad el open source y también financiará la auditoría de seguridad en ocho importantes proyectos

Hace ya varios dias Google dio a conocer la iniciativa Secure Open Source (SOS), que proporcionará bonificaciones por el trabajo relacionado con el fortalecimiento del software crítico de código abierto y al cual se han destinado un millón de dólares para los primeros pagos, pero si la iniciativa se reconoce como exitosa, la inversión en el proyecto continuará.

Las solicitudes de remuneración se aceptan solo para los cambios aceptados en proyectos con un nivel de criticidad de al menos 0.6 según la calificación OpenSSF Critically Score o incluidos en la lista de proyectos que requieren controles de seguridad especiales.

La naturaleza de los cambios propuestos debe estar relacionada con la mejora de la seguridad en áreas tales como fortalecer la protección de los elementos de la infraestructura (por ejemplo, procesos de integración y distribución continuos), implementar sistemas de verificación para firmas digitales de componentes de productos de software, aumentar el nivel del producto (revisión, protección de sucursales, Fuzzing testing, protección contra ataques de dependencia).

Durante el año pasado, hicimos una serie de inversiones para fortalecer la seguridad de proyectos críticos de código abierto, y recientemente anunciamos nuestro compromiso de $ 10 mil millones para la defensa de la ciberseguridad, incluidos $ 100 millones para respaldar fundaciones de terceros que administran las prioridades de seguridad de código abierto y ayudan a solucionar vulnerabilidades.

En cuanto a los montos de las bonificaciones, estas se expedirán de la siguiente manera:

  • $ 10,000 o más: por introducir mejoras complejas, significativas y relevantes a largo plazo que brinden protección contra vulnerabilidades graves en el código o la infraestructura de proyectos abiertos.
  • $ 5000- $ 10000 – para mejoras de dificultad media que tengan un efecto positivo en la seguridad.
  • $ 1000- $ 5000 por mejoras de dificultad moderada para aumentar la seguridad.
  • $ 505 – para pequeñas mejoras de seguridad.

Hoy, nos complace anunciar nuestro patrocinio para el programa piloto Secure Open Source (SOS) dirigido por la Fundación Linux. Este programa recompensa financieramente a los desarrolladores por mejorar la seguridad de proyectos críticos de código abierto de los que todos dependemos. Estamos comenzando con una inversión de $ 1 millón y planeamos expandir el alcance del programa en base a los comentarios de la comunidad.

Por otra parte el OSTIF (Fondo de mejora de la tecnología de código abierto), creado para fortalecer la seguridad de los proyectos de código abierto, anunció una asociación con Google, que expresó su disposición a financiar una auditoría de seguridad independiente de 8 proyectos de código abierto.

Con los fondos recibidos de Google, se decidió auditar Git, la librería Lodash JavaScript, el framework PHP Laravel, el framework Slf4j Java, las librerías Jackson JSON (Jackson-core y Jackson-databind) y los componentes Apache Http (Httpcomponents-core y Httpcomponents).

El soporte de Google permitirá a OSTIF lanzar el Programa de Auditoría Administrada (MAP), que ampliará nuestras revisiones de seguridad en profundidad a más proyectos vitales para el ecosistema de código abierto. 

Anteriormente, utilizando los fondos recibidos como resultado de la recolección de donaciones, el fondo OSTIF ya auditó los proyectos de OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS y QRL.

Por separado, la comunidad ya ha recopilado herramientas para auditar el marco PHP Symfony. En caso de financiamiento adicional para la auditoría , también se planean proyectos Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby y Guava.

Esto marca un gran éxito al atraer grandes donantes corporativos para apoyar el modelo de OSTIF de mejorar el software de código abierto a través de revisiones de seguridad y auditorías de código fuente.

La elección se tomó empíricamente con base en una evaluación del impacto de la seguridad del proyecto en el ecosistema de código abierto y el beneficio potencial para la comunidad al aumentar la seguridad de los proyectos en consideración. Para alrededor de 100 mil proyectos en GitHub, se calculó un coeficiente teniendo en cuenta factores como la popularidad del uso como dependencia, la demanda de infraestructuras, el número de desarrolladores, la actividad de desarrollo, el número de mensajes de error cerrados y no cerrados, el número de las organizaciones que apoyan el proyecto, la frecuencia de las actualizaciones, el historial de identificación de vulnerabilidades, etc.

Fuentes: https://ostif.org/, https://security.googleblog.com/

from Linux Adictos https://ift.tt/3Fw3Wl6
via IFTTT