La faille Heartbleed découverte dans OpenSSL a incité les meilleures entreprises technologiques à unir leurs forces pour mieux prendre en charge les projets open source critiques.
OpenSSL est utilisé par un large éventail d'entreprises et d'organisations technologiques et sous-tend une grande partie de la sécurité du Web. Malgré son importance et son utilisation intensive, le projet ne recueillait auparavant que 2 000 dollars de dons par an, le reste de son financement étant collecté en facturant le soutien.
La Fondation Linux dirige maintenant les efforts pour changer cela, en lançant le Initiative d'infrastructure de base pour augmenter le financement et le soutien des projets open source - à commencer par OpenSSL.
Notre économie mondiale repose sur de nombreux projets open source
Les bailleurs de fonds de l'initiative incluent Amazon, Google, Microsoft et Facebook, et les participants ont déjà des millions de dollars pour payer les développeurs à temps plein, les audits de sécurité et l'infrastructure essai.
« Notre économie mondiale repose sur de nombreux projets open source », a déclaré Jim Zemlin, directeur exécutif de la Linux Foundation. "Tout comme la Fondation Linux a financé Linus Torvalds pour pouvoir se concentrer à 100 % sur le développement Linux, nous allons maintenant être capable de prendre en charge des développeurs et des mainteneurs supplémentaires pour travailler à plein temps sur d'autres logiciels open source essentiels projets."
La Fondation Linux a souligné que les plans ne devraient pas être considérés comme une indication que les logiciels open source n'est actuellement pas sécurisé, simplement que la complexité croissante des systèmes signifie qu'un plus grand soutien aux développeurs est nécessaire.
OpenSSL est le premier projet à l'étude pour des fonds, mais l'idée est d'améliorer le code plus largement avant que de futurs problèmes ne surviennent.
"La Core Infrastructure Initiative transformera les demandes de financement des demandes réactives d'après-crise d'aujourd'hui en examens proactifs identifiant les besoins des projets les plus importants", a déclaré le groupe. "En levant des fonds auprès d'une organisation neutre telle que la Fondation Linux, l'industrie donnera effectivement à ces projets le soutien dont ils ont besoin tout en veillant à ce que les projets open source conservent leur indépendance et leur communauté dynamisme."
Prise en charge d'OpenSSL
OpenSSL a été la cible de certaines critiques suite à l'exposition de la faille Heartbleed - notamment de la communauté OpenBSD, qui a créé un fork du projet afin de nettoyer le code lui-même. Le fondateur d'OpenBSD, Theo de Raadt, est allé jusqu'à déclarer l'équipe OpenSSL "développeurs de logiciels non responsables".
Cependant, Steve Marquess, président de l'OpenSSL Software Foundation et "garçon d'argent" autoproclamé pour OpenSSL, a révélé le peu de soutien que le projet reçoit.
Entre ses contrats de soutien et les 2 000 $ de dons qu'il reçoit normalement, le projet n'a jamais rapporté plus d'un million de dollars au cours d'une année donnée.
Depuis que Heartbleed a rehaussé son profil, les dons à OpenSSL ont afflué, totalisant 9 000 $ la semaine dernière, a déclaré Marquess – mais a averti que cela "est loin d'être suffisant pour maintenir correctement les niveaux de main-d'œuvre nécessaires pour prendre en charge un logiciel aussi complexe et critique produit".
S'exprimant avant la création de la Core Infrastructure Initiative, il a déclaré que "ceux qui devraient apporter des ressources réelles sont les les entreprises commerciales et les gouvernements qui utilisent largement OpenSSL et le tiennent pour acquis », pointant du doigt les entreprises du Fortune 1 000 et le département américain de la Défense. Il semblerait que ses souhaits aient été exaucés, bien que l'on ne sache pas exactement combien de financement ou de soutien l'initiative générera pour OpenSSL.
