Финансы Alexander Lashkov
1 059

Гиганты индустрии инвестируют в безопасность OpenSSL после обнаружения уязвимости Heartbleed

Пакет OpenSSL играет большую роль в безопасности интернета, однако его разработчики всегда обладали очень скромными финансовыми ресурсами. Президент OpenSSL Software Foundation Стив Маркез (Steve Marquess) заявлял о том, что организация получает около $2000 пожертвований в год и имеет лишь одного фуллтайм-разработчика. После скандала, который возник в связи с обнаружением уязвимости Heartbleed, все должно измениться, сообщает Ars Technica.

Сегодня было объявлено о запуске трехлетней программы финансирования открытых проектов (в первую очередь OpenSSL), рассчитанной на минимальные инвестиции в размере $3,9 млн. Инициатива получила название «Core Infrastructure Initiative» и ее возглавил фонд развития операционной системы Linux (Linux Foundation). Планируется, что деньги в рамках программы выделят известные технологические компании, среди которых Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace и VMware — каждая из них внесет не менее $100 000 в год на протяжении трех последующих лет.

Кампания по сбору средств была объявлена после обнаружения уязвимости Heartbleed, которая поставила под угрозу десятки тысяч серверов во всем мире, поэтому именно OpenSSL имеет все шансы получить наибольшее финансирование. В заявлении Linux Foundation говорится о том, что проекту могут быть выделены финансы «для оплаты труда разработчиков и решения задач по укреплению безопасности». 

В отличие от некоторых других open-source проектов, OpenSSL никогда не обладал широкой поддержкой в технологической среде. Например, операционная система Linux поддерживается фондом, в который вложили средства такие заметные игроки как HP, IBM, Red Hat, Intel, Oracle, Google и Cisco, а сотрудники этих компаний официально тратили множество часов рабочего времени на написание кода для ядра ОС. Теперь внимания удостоится и OpenSSL.

Исполнительный директор Linux Foundation Джим Землин сообщил изданию Ars Technica о том, что финансирование будет осуществляться строго в соответствии с нормами сообществ, принятых среди разработчиков того или иного проекта, и перехода их под крыло корпораций не подразумевается.

Мы определенно хотим им помочь, но это нужно делать в соответствии с их представлениями. Парни в OpenSSL потратили большую часть своей карьеры на разработку крайне важного программного обеспечения, в чем-то это неблагодарная работа. [...] Мы в Linux Foundation уверены в том, что разработчики открытых проектов должны быть сами себе начальниками, вне зависимости от того, кто помогает им финансировать разработки.

Детали соглашения между организаторами инициативы и разработчиками OpenSSL еще предстоит проработать, но уже сейчас очевидно, что ресурсы проекта будут увеличены. В заявлении OpenSSL Software Foundation ситуацию даже сравнивают с финансирование создателя Linux Линуса Торвальдса:

Как когда-то Линус Торвальдс получил возможность посвятить все свое время работе над Linux благодаря помощи The Linux Foundation, теперь уже мы сможем привлечь к нашим проектам на постоянной основе дополнительных разработчиков.

Сообщается, что помимо технологических компаний, присоединиться к инициативе по сбору средств сможет любой желающий.

Лучше поздно

Компании, которые сейчас обратили свое внимание на OpenSSL, могли бы избежать множества проблем, если бы сделали это чуть раньше. Обнаруженная недавно уязвимость Heartbleed, которая причинила бы немало ущерба в том случае, если бы содержалась только в веб-серверах, повлияла и на другие продукты.

IBM пришлось уведомлять своих корпоративных клиентов о том, что некоторые продукты компании находятся под угрозой. Этим же пришлось заниматься и CiscoVMwareDellIntel и NetApp.

Как сказано в уже упомянутом посте из блога Маркеза:

Для полноценного развития OpenSSL над проектом должны работать как минимум шесть членов команды, которые посвящали бы этому все свое время без необходимости зарабатывать деньги в другом месте.

После шквала новостей об обнаружении Heartbleed, сумма пожертвований на развитие OpenSSL достигла $9000 — этого явно недостаточно. Кроме того, участники сообщества OpenSSL иногда оказывают консалтинговые услуги коммерческих клиентам по ставке $250 в час. В прошлые годы OpenSSL Software Foundation получал до миллиона долларов, однако эти деньги шли на компенсацию труда консультантов, которые работали над задачами, которые вовсе не обязательно приносили какую-то пользу проекту OpenSSL.

Недостаток ресурсов сказался на скорости исправления ошибок в коде и на его общем качестве. У участников сообщества также не всегда хватало времени на то, чтобы изучить код, предлагаемый для внесения разработчиками, которые хотели поучаствовать в развитии OpenSSL. Один из них на условиях анонимности сообщил Ars Technica о том, что его код и написанная им документация могли месяцами находится в очереди на одобрение, но никто так и не обращал на них внимание.

Джим Землин надеется, что благодаря «Core Infrastructure Initiative» ситуация изменится к лучшему. Что касается других проектов, которые могли бы получить финансирование в рамках этой программы, то ясности пока нет, хотя Землин называет в качестве возможных вариантов  Mod_SSLOpen Crypto Audit Project и GPG. По его словам, цель в данном случае не в том, чтобы «случайным образом вливать деньги в открытые проекты», а в том, чтобы определить, какие из них наиболее важны для интернета и пользователей в мире.

#инвестиции #openssl #heartbleed #уязвимость_heartbleed #Linux_foundation

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
Статьи по теме
Уязвимость в пакете OpenSSL подвергла опасности две трети всех серверов в интернете
Почему Heartbleed оставался незамеченным на протяжении двух лет
{ "author_name": "Alexander Lashkov", "author_type": "self", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c_heartbleed","\u0438\u043d\u0432\u0435\u0441\u0442\u0438\u0446\u0438\u0438","openssl","linux_foundation","heartbleed"], "comments": 5, "likes": 10, "favorites": 0, "is_advertisement": false, "subsite_label": "finance", "id": 3596, "is_wide": true, "is_ugc": true, "date": "Thu, 24 Apr 2014 19:57:33 +0400" }
{ "id": 3596, "author_id": 729, "diff_limit": 1000, "urls": {"diff":"\/comments\/3596\/get","add":"\/comments\/3596\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/3596"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199119 }

5 комментариев 5 комм.

Популярные

По порядку

2

Пилишь OpenSource и не получаешь за это денег.
Добавляешь жестокий баг.
...
PROFIT!!!

Ответить
0

Техноблогеры, ёмаё! OpenSSL - не протокол. Это (в интересующем нас контексте) библиотека.

А ведь вас могут читать дети. Какой пример вы им подаёте?!

Ответить
0

Ну вот и в чем проблема, если вы заметили ошибку нажать Ctrl+enter?

Ответить
3

Я ждал этого коммента! Покажете мне на моём смартфоне кнопку Ctrl - переведу вам 100 интернетов вознаграждения.

Ответить
0

Ок, это объясняет все. Конечно

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления
{ "page_type": "default" }