背景：內(nèi)核社區(qū)接管 Linux 社區(qū)漏洞發(fā)布

往年 Linux 內(nèi)核漏洞發(fā)布存在來源不固定、覆蓋不全面，有時(shí)發(fā)布無(wú)修復(fù)補(bǔ)丁的 CVE 從而形成 0-day 漏洞等問題，給 Linux 內(nèi)核安全帶來了不確定性，為了更規(guī)范化運(yùn)作，2024 年 2 月 13 日，Linux 內(nèi)核社區(qū)被賦予了 CVE 編號(hào)管理機(jī)構(gòu)(CNA)的角色，負(fù)責(zé)定期為 Linux 內(nèi)核的漏洞分配 CVE 號(hào)并發(fā)布。

當(dāng)前，Linux 內(nèi)核社區(qū)針對(duì) CVE 的分配和發(fā)布已形成了一套新的運(yùn)作流程：

關(guān)于內(nèi)核 CVE 的更多詳情，可參考社區(qū)文檔[5]。

在新的運(yùn)作機(jī)制下，Linux 內(nèi)核的漏洞分析更加專業(yè)化，漏洞識(shí)別率高，且不會(huì)出現(xiàn) 0day 漏洞。但同時(shí) CVE 漏洞數(shù)量激增，預(yù)計(jì) 2024 年全年將超過 4000 個(gè)，相較往年增長(zhǎng) 10 倍以上，這也為 openEuler 內(nèi)核的維護(hù)帶來了挑戰(zhàn)。

來自華為的openEuler 內(nèi)核核心貢獻(xiàn)者加入 Linux 社區(qū) CVE 檢視團(tuán)隊(duì)

openEuler 是國(guó)內(nèi)最大的開源 OS 社區(qū)，遵從開源軟件項(xiàng)目及其社區(qū)在信息安全方面所應(yīng)承擔(dān)的義務(wù)要求，作為 Linux 根社區(qū)的重要貢獻(xiàn)組織，一直積極參與 Linux 內(nèi)核社區(qū)的 CVE 計(jì)劃，更好地推動(dòng)和完善 openEuler 社區(qū)在信息安全領(lǐng)域[6]的規(guī)范建設(shè)。

2024 年 8 月 23 日在香港組織的“Linux Kernel Maintainer Meetup with Linus and Greg”活動(dòng)上，在華為任職并在 openEuler 社區(qū)擔(dān)任 Kernel SIG Maintainer 的郭寒軍，跟 Linus 和 Greg 談?wù)撈饍?nèi)核 CVE 數(shù)量激增的事情，Greg 表示目前 Linux 內(nèi)核的 CVE 會(huì)按照現(xiàn)有機(jī)制持續(xù)，數(shù)量預(yù)計(jì)不會(huì)降低，并鑒于華為一直在 Linux 內(nèi)核有持續(xù)高質(zhì)量的貢獻(xiàn)，提議讓華為參與到 Linux 內(nèi)核的 CVE 的檢視當(dāng)中，為 Linux 內(nèi)核的 CVE 計(jì)劃做貢獻(xiàn)。

Linux Kernel Maintainer Meetup with Linus and Greg

于是，從 linux 6.10.7 開始，openEuler 社區(qū) Kernel SIG 中三位自華為的核心貢獻(xiàn)者龔睿奇、章昌仲和郭寒軍加入到 Linux 內(nèi)核社區(qū)的 CVE 審視工作中，成為社區(qū) CVE 檢視“五人團(tuán)”（分別來自 Linux Foundation，Nvidia，Google，Microsoft，Huawei）中的一員[7]。

Linux 內(nèi)核社區(qū) CVE 檢視團(tuán)隊(duì)

在 stable 分支有新版本發(fā)布時(shí)，將共同審視新版本中的各個(gè)補(bǔ)丁，形成一份 CVE 候選補(bǔ)丁列表，隨后發(fā)送給社區(qū) CVE 團(tuán)隊(duì)。社區(qū) CVE 團(tuán)隊(duì)在收到所有成員的審視結(jié)果后，將會(huì)結(jié)合這些意見形成一份最終的 CVE 補(bǔ)丁列表，并對(duì)其中的補(bǔ)丁完成 CVE 編號(hào)分配和發(fā)布工作。Greg對(duì)華為參與 CVE的檢視工作也給予了高度認(rèn)可，不僅幫忙確認(rèn)了 CVE 候選補(bǔ)丁，還幫忙識(shí)別出了其他檢視成員沒有檢視出的 CVE補(bǔ)丁。

openEuler 的核心貢獻(xiàn)者成為 Linux 內(nèi)核社區(qū)的 CVE 檢視成員，將進(jìn)一步鞏固和提升 openEuler 在漏洞響應(yīng)和安全方面的能力。參與 Linux 社區(qū) CVE 檢視，一方面將從源頭上參與提高 CVE 識(shí)別質(zhì)量，另一方面將隨時(shí)感知 CVE 信息，大大提升 openEuler 社區(qū)在高危漏洞上的響應(yīng)能力。

開源開放，openEuler再進(jìn)階？

一直以來，華為都堅(jiān)持開源開放的核心戰(zhàn)略。

以Linux為例，華為作為L(zhǎng)inux根技術(shù)社區(qū)的長(zhǎng)期參與者和貢獻(xiàn)者，對(duì)于Linux內(nèi)核的貢獻(xiàn)在質(zhì)量、數(shù)量和深度上均有著重要影響，并且獲得Linux社區(qū)和開發(fā)者生態(tài)的重視與尊重。

例如，華為擁有超過20名Maintainer，處于全球領(lǐng)先水平，并且Maintainer持續(xù)為社區(qū)做出突出貢獻(xiàn)；華為將自家在Linux服務(wù)器操作系統(tǒng)領(lǐng)域發(fā)現(xiàn)的新特性貢獻(xiàn)給Linux內(nèi)核社區(qū)；華為以開放合作的態(tài)度積極參與社區(qū)討論、技術(shù)創(chuàng)新和解決內(nèi)核Bug……

此次，華為成功入圍Linux內(nèi)核漏洞CVE檢視“五人團(tuán)”，不僅是自身開源開放戰(zhàn)略走向成功的碩果；還是openEuler內(nèi)核研發(fā)團(tuán)隊(duì)多年來持續(xù)貢獻(xiàn)上游社區(qū)“厚積薄發(fā)”的體現(xiàn)；更是全球頂級(jí)開源社區(qū)和開源專家對(duì)于華為長(zhǎng)期參與開源領(lǐng)域工作的高度認(rèn)可。

事實(shí)上，openEuler近年來的茁壯成長(zhǎng)，已成為華為開源開放戰(zhàn)略的成功代表之一。例如，openEuler內(nèi)核研發(fā)團(tuán)隊(duì)近年來持續(xù)貢獻(xiàn)Linux Kenel上游社區(qū)，包括芯片架構(gòu)、ACPI、內(nèi)存管理、文件系統(tǒng)、Media、內(nèi)核文檔、針對(duì)整個(gè)內(nèi)核質(zhì)量加固的bugfix及代碼重構(gòu)等；在Linux Kernel 5.10和5.14中，openEuler內(nèi)核研發(fā)團(tuán)隊(duì)代碼貢獻(xiàn)量排名全球第一，十多年來合計(jì)向上游社區(qū)貢獻(xiàn)超過1.7萬(wàn)補(bǔ)丁。

經(jīng)歷多年發(fā)展之后，openEuler成長(zhǎng)為中國(guó)開源創(chuàng)新力量的突出代表。數(shù)據(jù)顯示，openEuler社區(qū)開源以來，已吸引超過20000+名開源貢獻(xiàn)者，成立100+個(gè)特別興趣小組，1800+家頭部企業(yè)（處理器廠商/OSV/DBV/云廠商/ISV/客戶等）、研究機(jī)構(gòu)和高校加入社區(qū)、貢獻(xiàn)社區(qū)；截至2024年9月底，openEuler的全球下載量已經(jīng)突破350萬(wàn)，openEuler系統(tǒng)累計(jì)裝機(jī)超過850萬(wàn)套，一個(gè)繁榮、開放、創(chuàng)新且可持續(xù)發(fā)展的開源操作系統(tǒng)生態(tài)蔚然壯大。

此外，開源世界有一句著名格言：社區(qū)重于代碼。開源代碼的價(jià)值固然巨大，但開源社區(qū)的聚合和放大效應(yīng)更對(duì)于產(chǎn)業(yè)創(chuàng)新和持續(xù)發(fā)展有著深遠(yuǎn)意義。openEuler社區(qū)無(wú)疑是注重社區(qū)合作與發(fā)展的代表。2023年12月，openEuler社區(qū)宣布已與9大海外頭部開源基金會(huì)開展深入合作，為150多個(gè)國(guó)家和地區(qū)提供服務(wù)，構(gòu)建出全球開源的新生態(tài)，并獲得全球開源社區(qū)的廣泛認(rèn)可。

如今，openEuler已是全球操作系統(tǒng)領(lǐng)域舉足輕重的創(chuàng)新力量，國(guó)內(nèi)外多家主流的操作系統(tǒng)廠商均已發(fā)布o(jì)penEuler商業(yè)發(fā)行版。面向未來，openEuler在產(chǎn)業(yè)化方面會(huì)有哪些新探索？面對(duì)AI技術(shù)浪潮，openEuler會(huì)有哪些重要的技術(shù)創(chuàng)新方向?qū)崿F(xiàn)再進(jìn)階？openEuler社區(qū)又會(huì)如何進(jìn)一步融入全球開源生態(tài)體系？

2024年11月15日—16日，操作系統(tǒng)大會(huì)＆openEuler Summit 2024將揭曉一切！

• [1]http://www.kroah.com/log/blog/2024/02/13/linux-is-a-cna/

• [2]https://www.cve.org/About/Overview

• [3]https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git

• [4]https://lore.kernel.org/linux-cve-announce/

• [5]https://docs.kernel.org/process/cve.html

• [6]https://linuxfoundation.eu/cyber-resilience-act

• [7]https://git.kernel.org/pub/scm/linux/security/vulns.git/log/cve