Känner ni till några bra Open Source projekt inom IT-säkerhet?

Precis alla mjukvaruprojekt har behov av säkerhetsanalyser, det finns en hel del verktyg för statisk analys och fuzzying att implementera. De populära kompilatorerna gör en hel del magi som är säkerhetsrelaterat.

Det finns ett stort gäng kryptobibliotek, bland annat openssl, mbedtls och wolfssl. Wolfssl har inget heltäckande stabilt API, vilket är ett problem för de projekt som ska integrera det. Mbedtls har inte fullt stöd för TLS 1.3. Så här finns jobb att göra.

ClamAV är det mest kända fria antiviruspaketet. Nmap är den mest kända nätverksscannern, de har behov av att migrera till libpcre2 eftersom 1:an inte säkerhetsuppdateras längre. Suricata är ett exempel på IDS/IPS (intrusion detection/prevention system) som analyserar nätverkstrafik. Linux-kärnan har ett gäng subsystem som är direkt säkerhetsrelaterade.

Det svåra är inte att hitta något, utan att välja något där det går att bidra med begränsad kunskap. Första steget är antagligen att installera Linux om du inte gjort det än. Nästan alla säkerhetsrelaterade Open Source-projekt har det som primär plattform. Sedan behöver du antagligen lära dig att hantera några populära kompilatorer och byggramverk. Lär dig bygga din distribution från källkod.

Du skulle kunna börja med att jobba med att återskapa buggar som rapporterats mot din valda Linux-distribution. Nästa steg i så fall är att lista ut om felet finns i distributionen eller i ”upstream”, dvs i det program som distributionen integrerar. Därefter finns möjligheten att bidra med ”pull requests” mot utvecklingsversionen i upstream-projektet och sedan eventuellt bakåtportera fixen till den version som används av distributionen. Vissa projekt tar bara emot ändringsförslag via patchar i visst format som skickas till en e-postlista.

Du kommer behöva kunna C (och helst x86 assembler) om du verkligen ska förstå en stor del av de IT-säkerhetsproblem som världen plågas av.