Группа разработчиков запустила Commonhaus — организацию для защиты критически важных open source проектов от внедрения бэкдоров. Инициатива появилась после атаки на XZ Utils, которая чуть не привела к глобальному компромату Linux-систем.
В марте 2024 года злоумышленник под псевдонимом Jia Tan два года внедрял бэкдор в XZ Utils — утилиту сжатия данных из большинства дистрибутивов Linux. Атаку обнаружили случайно за несколько недель до массового развёртывания компрометированных систем.
Главная уязвимость open source
XZ Utils обнажил критическую проблему экосистемы — важнейшие проекты часто поддерживает один-два человека без должного контроля. Злоумышленнику хватило двух лет, чтобы завоевать доверие сообщества и получить права мейнтейнера.
«Мы не можем ждать следующего инцидента», — заявил основатель Commonhaus Шон Макмэнус, бывший директор по безопасности Red Hat.
Трёхуровневая защита
Commonhaus предлагает градацию по уровням риска:
Базовый уровень: автоматизированные проверки кода, обязательная 2FA для коммиттеров, детальное логирование изменений.
Стандартный уровень: code review от двух независимых разработчиков, регулярные аудиты зависимостей, формальная передача прав мейнтейнера.
Критический уровень: для проектов типа OpenSSL или systemd. Профессиональный аудит кода, страхование ответственности, круглосуточная поддержка инцидентов.
Microsoft, Google, Amazon и IBM выделили $50 млн на пять лет.
Что получают разработчики
Commonhaus решает проблему «bus factor» — когда проект зависит от одного человека. Мейнтейнеры получают финансовую поддержку, юридическую защиту и техническую инфраструктуру для безопасной разработки.
Первые проекты под управлением Commonhaus запустят во втором квартале 2025 года.
