Вызвавшая большой резонанс Heartbleed-уязвимость в OpenSSL обнажила еще одну острую проблему: скромной группе активистов, разрабатывающей и поддерживающей это ПО, требуется помощь. И деньги. И ресурсы. Хотя деньги, наверное, нужнее всего. И такое вспомоществование OpenSSL Foundation и другим открытым проектам теперь будут предоставлять крупнейшие IT-компании, участники Core Infrastructure Initiative (CII).

В новый альянс, учрежденный с инициативы The Linux Foundation, входят Microsoft, Facebook, Amazon, Dell, Google, Cisco, IBM, Intel, Fujitsu, NetApp, Rackspace и VMware. Именитые вендоры создадут многомиллионный фонд в поддержку open source-проектов, деятельность которых критически важна для безопасности и стабильности Интернета. У CII уже есть первый кандидат на получение финансовой помощи — OpenSSL.

Денежные средства, выделяемые из фонда CII, позволят участникам аналогичных проектов, работающим, как правило, на добровольных началах, нанять штатных разработчиков, проводить адекватное тестирование и удовлетворять другие важные нужды.

«Сохранение работоспособности комьюнити-проектов, которые производят ПО, критичное для надежности и безопасности интернет-коммерции, отвечает общим интересам, — заявил профессор Эбен Моглен (Eben Moglen) из Колумбийского университета, директор и учредитель Центра правовой поддержки свободного ПО (Software Freedom Law Center). — The Linux Foundation и присоединившиеся к инициативе компании дадут энтузиастам возможность и впредь поддерживать и совершенствовать бесплатный софт с открытым кодом, который гарантирует безопасную работу Сети для всех нас. Это пример сотрудничества коммерческих организаций и комьюнити в общественных интересах, и мы должны быть благодарны The Linux Foundation за претворение полезной идеи в жизнь».

Heartbleed-уязвимость показала, насколько важны такие проекты и к каким серьезным проблемам может привести нехватка ресурсов у их участников. В OpenSSL, например, работают добровольцы, а сам проект существует за счет пожертвований, обычно собирая лишь несколько тысяч долларов в год.

«Обеспечение безопасности — это всеотраслевая задача, и ее решение требует сотрудничества в масштабах всей отрасли, — отметил Стив Липнер (Steve Lipner), директор Microsoft по работе с партнерами в области обеспечения безопасности ПО. — Инициатива Core Infrastructure отвечает нашей идее участия в open source и повышения безопасности разработок на всех платформах, устройствах и сервисах».

Категории: Кибероборона, Уязвимости