Инициатива основной инфраструктуры - Core Infrastructure Initiative

Инициатива основной инфраструктуры
Core Infrastructure Initiative logo.png
Заявление о миссии«Для финансирования проектов с открытым исходным кодом, которые находятся на критическом пути для основных вычислительных функций».
Коммерческий?Нет
ОсновательДжим Землин
Учредил24 апреля 2014 г. (2014-04-24)[1]
ФинансированиеПожертвованиями
Интернет сайтwww.coreinfrastructure.org

В Инициатива основной инфраструктуры (CII) является проектом Linux Foundation для финансирования и поддержки бесплатное программное обеспечение с открытым исходным кодом проекты, которые имеют решающее значение для функционирования Интернета и других основных информационных систем. О проекте было объявлено 24 апреля 2014 г. после Heartbleed, критический ошибка безопасности в OpenSSL который используется на миллионах веб-сайтов.

OpenSSL - один из первых программных проектов, финансируемых этой инициативой после того, как он был признан недофинансированным, получая лишь около 2000 долларов в год в виде пожертвований.[1] Инициатива будет спонсировать двух штатных разработчиков ядра OpenSSL.[2] В сентябре 2014 года Инициатива предложила помощь Чету Рэми, разработчику трепать, после Shellshock уязвимость была обнаружена.[3]

Heartbleed ошибка

Основная статья: Heartbleed
Логотип, представляющий Heartbleed

OpenSSL - это Открытый исходный код реализация Безопасность транспортного уровня (TLS), что позволяет любому проверить его исходный код.[4] Это, например, используется смартфоны запуск Операционная система Android и немного Вай фай маршрутизаторами, а также организациями, в том числе Amazon.com, Facebook, Netflix, Yahoo!, Соединенные Штаты Америки Федеральное Бюро Расследований и Канадское налоговое агентство.[5]

7 апреля 2014 г. была публично раскрыта и исправлена ​​ошибка OpenSSL Heartbleed.[6] Уязвимость, которая использовалась в текущей версии OpenSSL более двух лет,[7] позволил хакерам получить такую ​​информацию, как имена пользователей, пароли и номера кредитных карт от предположительно безопасных транзакций. В то время примерно 17% (около полумиллиона) защищенных веб-серверов Интернета были сертифицированы доверенные органы считались уязвимыми для нападения.[8]

Программное обеспечение с открытым исходным кодом

В соответствии с Закон Линуса, из книги Раймонда Собор и базар, «Если внимательно присмотреться, все ошибки мелкие».[9] Другими словами, если над программой работает достаточное количество людей, проблема будет обнаружена быстро, а ее решение станет для кого-то очевидным. Рэймонд заявил в интервью, что «не было никаких глазных яблок» для ошибки Heartbleed.[5]

До финансирования CII только один человек, Стивен Хенсон, работал над OpenSSL полный рабочий день; Хенсон одобрил более половины обновлений более чем 450 000 строк исходного кода OpenSSL.[10] Помимо Хенсона, есть еще три основных программиста-волонтера. Бюджет проекта OpenSSL составлял 2000 долларов в год в виде пожертвований, чего было достаточно, чтобы покрыть счет за электричество, а Стив Хенсон зарабатывал около 20 000 долларов в год.[7] Чтобы собрать больше доходов для проекта, Стив Маркиз, консультант Министерства обороны, создал OpenSSL Software Foundation. Это позволяло программистам подрабатывать, консультируя организации, которые использовали код. Однако фонд приносил менее 1 миллиона долларов в год.[5] а контрактная работа была сосредоточена на добавлении новых функций, а не на поддержании старых.[7]

Другие проекты программного обеспечения с открытым исходным кодом сталкиваются с аналогичными трудностями. Например, разработчики OpenBSD Операционная система, заботящаяся о безопасности, чуть не была вынуждена закрыть проект в начале 2014 года, потому что не могла оплатить счета за электричество.[11]

Инициатива

Джим Землин, исполнительный директор Linux Foundation, задумал идею Core Infrastructure Initiative вскоре после объявления Heartbleed и провел ночь 23 апреля, обращаясь к фирмам за поддержкой.[12] Тринадцать компаний откликнулись и присоединились к инициативе: Веб-сервисы Amazon, Cisco Systems, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, Qualcomm и VMware.[13][14] Список в основном определялся тем, кого Землин знал.[12] Каждая из тринадцати компаний обязалась жертвовать по 100 000 долларов в год в течение следующих трех лет, в результате чего первоначальный фонд финансирования составил почти 4 миллиона долларов.[15][16][17] Еще пять компаний‍ — ‌Adobe Systems, Bloomberg L.P., Hewlett Packard, Huawei, и Salesforce.com ‍ — ‌ с тех пор присоединились к инициативе.[18]

Деньги, которые пулы CII будут использоваться для финансирования конкретных задач, таких как компенсация разработчикам за постоянную работу над проектом программного обеспечения с открытым исходным кодом, проведение обзоров и аудит безопасности, развертывание тестовая инфраструктура, а также облегчение поездок и личных встреч разработчиков.[2]

CII будет состоять из двух органов: руководящего комитета и консультативного совета. Руководящий комитет будет состоять из представителей компаний-членов и других заинтересованных сторон отрасли.[2][15] Комитет будет отвечать за определение целевых программных проектов и утверждение конкретного финансирования для этих проектов. Консультативный совет, состоящий из разработчиков и других заинтересованных сторон, будет давать рекомендации руководящему комитету.[2]

Проекты, поддержанные в 2016 году

название проектаТипФинансирование (долл. США)интернет сайт
Фрама-СИнструмент разработчика192,000[1]
GnuPGСистемный инструмент или приложение60,000[2]
Демон сетевого протокола времениСистемный инструмент или приложение180,000
OpenSSHСистемный инструмент или приложение50,000[3]
OpenSSLБиблиотека разработчика550,000[4]
OWASP Zed Attack ProxyИнструмент или проект для тестирования23,000[5]
Воспроизводимые сборкиИнструмент или проект для тестирования250,000[6]
Проект FuzzingИнструмент или проект для тестирования60,000[7]
Проект самозащиты ядра LinuxСистемный инструмент или приложение80,000[8]
NTPsecСистемный инструмент или приложение150,000[9]
Надувной ЗамокБиблиотека разработчика15,000[10]

В рамках Инициативы базовой инфраструктуры также было инвестировано 120000 долларов США на обучение передовым методам разработки с открытым исходным кодом, 120000 долларов США в анализ популярных проектов с открытым исходным кодом и 95000 долларов США на аудит OpenSSL.[19]

Рекомендации

  1. ^ а б «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и The Linux Foundation формируют новую инициативу по поддержке важных проектов с открытым исходным кодом» (Пресс-релиз). Фонд Linux. 24 апреля 2014 г. В архиве из оригинала 10 июня 2016 г.. Получено 25 июля 2016.
  2. ^ а б c d «Часто задаваемые вопросы об инициативе в области базовой инфраструктуры». Фонд Linux. В архиве из оригинала 14 апреля 2016 г.. Получено 25 июля 2016.
  3. ^ «Эксперты по безопасности ожидают, что программная ошибка Shellshock будет серьезной». Таймс оф Индия. В архиве из оригинала от 29.09.2014. Получено 2014-09-29.
  4. ^ Салливан, Гейл (9 апреля 2014 г.). "Heartbleed: что вам следует знать". Вашингтон Пост. В архиве из оригинала 9 мая 2014 г.. Получено 14 мая 2014.
  5. ^ а б c Перлрот, Николь (18 апреля 2014 г.). «Heartbleed указывает на противоречие в сети». Нью-Йорк Таймс. В архиве из оригинала 8 мая 2014 г.. Получено 14 мая 2014.
  6. ^ Грабб, Бен (15 апреля 2014 г.). "График раскрытия информации: кто знал, что и когда". Sydney Morning Herald. В архиве из оригинала 25 ноября 2014 г.. Получено 14 мая 2014.
  7. ^ а б c Стокель-Уокер, Крис (25 апреля 2014 г.). «Интернет защищают два парня по имени Стив». BuzzFeed. В архиве из оригинала 15 мая 2014 г.. Получено 15 мая 2014.
  8. ^ Баранина, Пол (8 апреля 2014 г.). «Полмиллиона пользующихся доверием веб-сайтов уязвимы для ошибки Heartbleed». Netcraft ООО В архиве с оригинала 19 ноября 2014 г.. Получено 22 мая, 2014.
  9. ^ Янг, Эрик С. Раймонд; с предисловием Боба (2008). The Cathedral & the Bazaar Musings на Linux и с открытым исходным кодом от случайного революционера (2-е изд.). Севастополь: O'Reilly Media, Inc., стр. 30. ISBN  978-0596553968.
  10. ^ Бэббидж (6 мая 2014 г.). «Сердцебиение от катастрофы». Экономист. В архиве из оригинала 15 мая 2014 г.. Получено 15 мая 2014.
  11. ^ Финли, Клинт (22 января 2014 г.). «Биткойн-барон поддерживает секретную ОС с открытым исходным кодом». Проводной. В архиве из оригинала 11 мая 2014 г.. Получено 15 мая 2014.
  12. ^ а б Розенблатт, Сет (24 апреля 2014 г.). «Технические титаны объединяют свои силы, чтобы остановить следующее Heartbleed». CNET. В архиве из оригинала 17 мая 2014 г.. Получено 15 мая 2014.
  13. ^ «Инициатива по базовой инфраструктуре». Фонд Linux. В архиве из оригинала 10 сентября 2016 г.. Получено 25 июля 2016.
  14. ^ Финли, Клинт (24 апреля 2014 г.). «Twitter Facebook RSS Google, Facebook и Microsoft объединились, чтобы остановить еще одно сердцебиение». Проводной. В архиве из оригинала 14 мая 2014 г.. Получено 15 мая 2014.
  15. ^ а б Перлрот, Николь (24 апреля 2014 г.). «Инициатива компаний по поддержке OpenSSL и других проектов с открытым исходным кодом». Биты. Нью-Йорк Таймс. В архиве из оригинала 30 апреля 2014 г.. Получено 29 апреля 2014.
  16. ^ Воан-Николс, Стивен Дж. (24 апреля 2014 г.). «Cisco, Microsoft, VMware и другие технологические гиганты объединяются для реализации важных проектов с открытым исходным кодом». ZDNet. В архиве из оригинала 27 апреля 2014 г.. Получено 29 апреля 2014.
  17. ^ Уоррен, Кристина (24 апреля 2014 г.). «Facebook, Google, Microsoft объединяют усилия, чтобы предотвратить еще одно кровопролитие». Mashable. В архиве из оригинала 29 апреля 2014 г.. Получено 29 апреля 2014.
  18. ^ «Инициатива по базовой инфраструктуре Linux Foundation объявляет о новых спонсорах, первых проектах, получивших поддержку, и о членах консультативного совета» (Пресс-релиз). Фонд Linux. 29 мая 2014 г. Архивировано с оригинал 11 июля 2017 г.. Получено 23 июн 2014.
  19. ^ «Годовой отчет Инициативы по основной инфраструктуре за 2016 год» (PDF). Инициатива по базовой инфраструктуре. Архивировано из оригинал 6 ноября 2017 г.. Получено 14 апреля 2017.

внешняя ссылка