Linux Foundation принимает меры, чтобы не допустить повторения Heartbleed

Организация Linux Foundation держит свое обещание относительно недопущения в будущем повторения таких ситуаций, как в случае с ошибкой Heartbleed. 24 апреля она объявила о старте инициативы Core Infrastructure Initiative (CII) по финансированию открытых проектов, а теперь уточнила, каких проектов это коснется в первую очередь.

Выявленная 7 апреля ошибка Heartbleed представляет собой уязвимость в открытой криптографической библиотеке OpenSSL, широко используемой в серверах и встроенных системах по всему миру. Одна из основных причин, почему она не была обнаружена вовремя, заключается в недостатке ресурсов и финансирования соответствующего проекта. На решение этой проблемы и направлена инициатива CII.

Джим Землин, исполнительный директор Linux Foundation, сообщил представителю eWeek, что к настоящему времени под CII собрано уже 5,4 млн. долл. В число поддержавших инициативу компаний вошли Adobe, Bloomberg, Hewlett-Packard и Salesforce.com, которые пополнили перечень присоединившихся к ней в апреле вендоров VMware, Rackspace, NetApp, Microsoft, Intel, IBM, Google, Fujitsu, Facebook, Dell, Amazon и Cisco.

Получив в распоряжение необходимые средства, инициаторы CII сформировали также консультативный совет из хорошо известных в отрасли экспертов, чтобы решить, на что эти деньги должны пойти в первую очередь. В этот совет вошли разработчики ядра Linux Алан Кокс и Тед Тсо, профессор университета Джона Хопкинса Мэтью Грин, профессор Колумбийского университета Эбен Моглен и признанный специалист по криптографии Брюс Шнейер. «Члены консультативного совета работают на добровольной основе, чтобы оказать помощь CII, — пояснил Землин. — Мы очень благодарны им за их поддержку».

Первыми финансирование через CII получат проекты OpenSSL, OpenSSH и Network Time Protocol (NTP). В частности, для проекта OpenSSL выделяются средства на оплату двух ведущих разработчиков на условиях полной занятости, а также на проверку кода специалистами Open Crypto Audit Project (OCAP).

«Мы не раскрываем конкретные цифры финансирования проектов через CII, но рады, что можем поддержать проект OpenSSL и оплатить аудит кода, который будут выполнен OCAP», — сказал Землин.

Выбор OpenSSL в качестве объекта для финансирования вполне очевиден, поскольку нашумевшая история Heartbleed связана именно с этим проектом. Что касается NTP и OpenSSH, то, как пояснил Землин, оба эти проекта направлены на создание критически важного открытого ПО универсального использования.

«Приоритет в выделении финансирования через CII отдается проектам, которые направлены на поддержку критически важной глобальной технологической инфраструктуры, но не имеют поддержки, которая соответствовала бы уровню их значимости», — сказал Землин.