Il difetto Heartbleed scoperto in OpenSSL ha spinto le migliori aziende tecnologiche a unire le forze per supportare meglio i progetti open source critici.
OpenSSL è utilizzato da un'ampia gamma di aziende e organizzazioni tecnologiche e sostiene gran parte della sicurezza del Web. Nonostante la sua importanza e il suo intenso utilizzo, il progetto in precedenza raccoglieva appena 2.000 dollari in donazioni all'anno, mentre il resto del suo finanziamento veniva raccolto facendo pagare il sostegno.
La Linux Foundation sta ora dirigendo gli sforzi per cambiarlo, avviando il Iniziativa per le infrastrutture di base aumentare i finanziamenti e il supporto per i progetti open source, a partire da OpenSSL.
La nostra economia globale si basa su molti progetti open source
I sostenitori dell'iniziativa includono Amazon, Google, Microsoft e Facebook, e i partecipanti lo hanno già fatto ha investito milioni di dollari per pagare sviluppatori a tempo pieno, controlli di sicurezza e infrastrutture test.
"La nostra economia globale si basa su molti progetti open source", ha affermato Jim Zemlin, direttore esecutivo di The Linux Foundation. "Proprio come la Linux Foundation ha finanziato Linus Torvalds per potersi concentrare al 100% sullo sviluppo di Linux, ora saremo in grado di supportare sviluppatori e manutentori aggiuntivi per lavorare a tempo pieno supportando altri open-source essenziali progetti”.
La Linux Foundation ha sottolineato che i piani non dovrebbero essere visti come un'indicazione che il software open source non è attualmente sicuro, semplicemente perché la crescente complessità dei sistemi significa che più supporto per gli sviluppatori lo è necessario.
OpenSSL è il primo progetto preso in considerazione per i fondi, ma l'idea è di migliorare il codice in modo più ampio prima che si verifichino problemi futuri.
"La Core Infrastructure Initiative cambierà le richieste di finanziamento dalle richieste reattive post-crisi di oggi a revisioni proattive che identificano le esigenze dei progetti più importanti", ha affermato il gruppo. “Raccogliendo fondi presso un'organizzazione neutrale come The Linux Foundation, l'industria effettivamente li darà progetti il supporto di cui hanno bisogno, garantendo al contempo che i progetti open source mantengano la loro indipendenza e siano basati sulla comunità dinamismo."
Supporto OpenSSL
OpenSSL è stato oggetto di alcune critiche in seguito all'esposizione del difetto Heartbleed: in particolare dalla comunità OpenBSD, che ha creato un fork del progetto per ripulire il codice si. Il fondatore di OpenBSD Theo de Raadt è arrivato al punto di dichiarare il team di OpenSSL "sviluppatori di software non responsabili".
Tuttavia, Steve Marquess, presidente della OpenSSL Software Foundation e autodefinitosi "uomo da soldi" per OpenSSL, ha rivelato quanto poco sostegno riceva il progetto.
Tra i suoi contratti di supporto e i $ 2.000 di donazioni che normalmente riceve, il progetto non ha mai incassato più di $ 1 milione in un dato anno.
Da quando Heartbleed ha alzato il suo profilo, le donazioni a OpenSSL sono arrivate a fiumi, per un totale di $ 9.000 la scorsa settimana, ha detto Marquess, ma ha avvertito che questo “non è neanche lontanamente sufficiente per sostenere adeguatamente i livelli di manodopera necessari per supportare un software così complesso e critico Prodotto".
Parlando prima dell'istituzione della Core Infrastructure Initiative, ha affermato che "quelli che dovrebbero contribuire con risorse reali sono i aziende commerciali e governi che utilizzano ampiamente OpenSSL e lo danno per scontato", puntando il dito contro le aziende Fortune 1.000 e il Dipartimento degli Stati Uniti della Difesa. Sembrerebbe che i suoi desideri siano stati esauditi, anche se non è chiaro esattamente quanto finanziamento o supporto genererà l'iniziativa per OpenSSL.
