Разработчики проекта Grsecurity, в рамках которого развивается серия надстроек для усиления безопасности ядра Linux, объявили о своем решении ограничить публичный доступ к стабильным версиям патчей, предоставив возможность их загрузки только спонсорам проекта. Данная мера вызвана многочисленными нарушениями лицензии GPL (Grsecurity GNU General Public License) и даже торговой марки.
Имена нарушителей не озвучиваются, однако известно, что последней каплей стал инцидент с участием многомиллиардной корпорации, которая предположительно использует модифицированный вариант устаревшей неподдерживаемой версии Grsecurity.
Как пояснил автор проекта Брэд Спенглер (Brad Spengler), вышеуказанная компания использовала наработки Grsecurity в своих продуктах и упоминала об этом в своих маркетинговых материалах и блогах. При этом продукты основаны на устаревшей версии ядра Linux с рядом других модификаций кода, которые не были проверены на безопасность. Проще говоря, производимый компанией продукт не является grsecurity – он не соответствует установленным разработчиками стандартам, но в то же время использует брэнд и репутацию для рекламных целей, отметил Спенглер.
По словам ведущего разработчика, проект истратил огромное количество средств на юридические баталии с компаниями-нарушителями лицензии GPL. Несмотря на то, что наработки Grsecurity используются многими предприятиями, ни одно из них никак не поспособствовало развитию и поддержке Grsecurity.
Доступ к экспериментальным сериям патчей grsecurity останется открытым, что позволит избежать негативного влияния на сообщества Gentoo Hardened и Arch Linux, так как они используют экспериментальные выпуски grsecurity на базе свежих ядер Linux. Стабильные патчи будут находиться в открытом доступе только в течение следующих двух недель.
Источник - securitylab.ru