Инициатива основной инфраструктуры - Core Infrastructure Initiative - Wikipedia
Инициатива основной инфраструктуры | |
---|---|
Заявление о миссии | «Для финансирования проектов с открытым исходным кодом, которые находятся на критическом пути для основных вычислительных функций». |
Коммерческий? | Нет |
Основатель | Джим Землин |
Учредил | 24 апреля 2014 г.[1] |
Финансирование | Пожертвованиями |
Интернет сайт | www |
В Инициатива основной инфраструктуры (CII) является проектом Linux Foundation для финансирования и поддержки бесплатное программное обеспечение с открытым исходным кодом проекты, которые имеют решающее значение для функционирования Интернета и других основных информационных систем. О проекте было объявлено 24 апреля 2014 г. после Heartbleed, критический ошибка безопасности в OpenSSL который используется на миллионах веб-сайтов.
OpenSSL - один из первых программных проектов, финансируемых этой инициативой после того, как он был признан недофинансированным, получая лишь около 2000 долларов в год в виде пожертвований.[1] Инициатива будет спонсировать двух штатных разработчиков ядра OpenSSL.[2] В сентябре 2014 года Инициатива предложила помощь Чету Рэми, разработчику трепать, после Shellshock уязвимость была обнаружена.[3]
Heartbleed ошибка
OpenSSL - это Открытый исходный код реализация Безопасность транспортного уровня (TLS), что позволяет любому проверить его исходный код.[4] Это, например, используется смартфоны запуск Операционная система Android и немного Вай фай маршрутизаторами, а также организациями, в том числе Amazon.com, Facebook, Netflix, Yahoo!, Соединенные Штаты Америки Федеральное Бюро Расследований и Канадское налоговое агентство.[5]
7 апреля 2014 г. была публично раскрыта и исправлена ошибка OpenSSL Heartbleed.[6] Уязвимость, которая использовалась в текущей версии OpenSSL более двух лет,[7] позволил хакерам получить такую информацию, как имена пользователей, пароли и номера кредитных карт от предположительно безопасных транзакций. В то время примерно 17% (около полумиллиона) защищенных веб-серверов Интернета были сертифицированы доверенные органы считались уязвимыми для нападения.[8]
Программное обеспечение с открытым исходным кодом
В соответствии с Закон Линуса, из книги Раймонда Собор и базар, «Если внимательно присмотреться, все ошибки мелкие».[9] Другими словами, если над программой работает достаточное количество людей, проблема будет обнаружена быстро, а ее решение станет для кого-то очевидным. Рэймонд заявил в интервью, что «не было никаких глазных яблок» для ошибки Heartbleed.[5]
До финансирования CII только один человек, Стивен Хенсон, работал над OpenSSL полный рабочий день; Хенсон одобрил более половины обновлений более чем 450 000 строк исходного кода OpenSSL.[10] Помимо Хенсона, есть еще три основных программиста-волонтера. Бюджет проекта OpenSSL составлял 2000 долларов в год в виде пожертвований, чего было достаточно, чтобы покрыть счет за электричество, а Стив Хенсон зарабатывал около 20 000 долларов в год.[7] Чтобы собрать больше доходов для проекта, Стив Маркиз, консультант Министерства обороны, создал OpenSSL Software Foundation. Это позволяло программистам подрабатывать, консультируя организации, которые использовали код. Однако фонд приносил менее 1 миллиона долларов в год.[5] а контрактная работа была сосредоточена на добавлении новых функций, а не на поддержании старых.[7]
Другие проекты программного обеспечения с открытым исходным кодом сталкиваются с аналогичными трудностями. Например, разработчики OpenBSD Операционная система, заботящаяся о безопасности, чуть не была вынуждена закрыть проект в начале 2014 года, потому что не могла оплатить счета за электричество.[11]
Инициатива
Джим Землин, исполнительный директор Linux Foundation, задумал идею Core Infrastructure Initiative вскоре после объявления Heartbleed и провел ночь 23 апреля, обращаясь к фирмам за поддержкой.[12] Тринадцать компаний откликнулись и присоединились к инициативе: Веб-сервисы Amazon, Cisco Systems, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, Qualcomm и VMware.[13][14] Список в основном определялся тем, кого Землин знал.[12] Каждая из тринадцати компаний обязалась жертвовать по 100 000 долларов в год в течение следующих трех лет, в результате чего первоначальный фонд финансирования составил почти 4 миллиона долларов.[15][16][17] Еще пять компаний — Adobe Systems, Bloomberg L.P., Hewlett Packard, Huawei, и Salesforce.com — с тех пор присоединились к инициативе.[18]
Деньги, которые пулы CII будут использоваться для финансирования конкретных задач, таких как компенсация разработчикам за постоянную работу над проектом программного обеспечения с открытым исходным кодом, проведение обзоров и аудит безопасности, развертывание тестовая инфраструктура, а также облегчение поездок и личных встреч разработчиков.[2]
CII будет состоять из двух органов: руководящего комитета и консультативного совета. Руководящий комитет будет состоять из представителей компаний-членов и других заинтересованных сторон отрасли.[2][15] Комитет будет отвечать за определение целевых программных проектов и утверждение конкретного финансирования для этих проектов. Консультативный совет, состоящий из разработчиков и других заинтересованных сторон, будет давать рекомендации руководящему комитету.[2]
Проекты, поддержанные в 2016 году
название проекта | Тип | Финансирование (долл. США) | интернет сайт |
---|---|---|---|
Фрама-С | Инструмент разработчика | 192,000 | [1] |
GnuPG | Системный инструмент или приложение | 60,000 | [2] |
Демон сетевого протокола времени | Системный инструмент или приложение | 180,000 | |
OpenSSH | Системный инструмент или приложение | 50,000 | [3] |
OpenSSL | Библиотека разработчика | 550,000 | [4] |
OWASP Zed Attack Proxy | Инструмент или проект для тестирования | 23,000 | [5] |
Воспроизводимые сборки | Инструмент или проект для тестирования | 250,000 | [6] |
Проект Fuzzing | Инструмент или проект для тестирования | 60,000 | [7] |
Проект самозащиты ядра Linux | Системный инструмент или приложение | 80,000 | [8] |
NTPsec | Системный инструмент или приложение | 150,000 | [9] |
Надувной Замок | Библиотека разработчика | 15,000 | [10] |
В рамках Инициативы базовой инфраструктуры также было инвестировано 120000 долларов США на обучение передовым методам разработки с открытым исходным кодом, 120000 долларов США в анализ популярных проектов с открытым исходным кодом и 95000 долларов США на аудит OpenSSL.[19]
Рекомендации
- ^ а б «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и The Linux Foundation формируют новую инициативу по поддержке важных проектов с открытым исходным кодом» (Пресс-релиз). Фонд Linux. 24 апреля 2014 г. В архиве из оригинала 10 июня 2016 г.. Получено 25 июля 2016.
- ^ а б c d «Часто задаваемые вопросы об инициативе в области базовой инфраструктуры». Фонд Linux. В архиве из оригинала 14 апреля 2016 г.. Получено 25 июля 2016.
- ^ «Эксперты по безопасности ожидают, что программная ошибка Shellshock будет серьезной». Таймс оф Индия. В архиве из оригинала от 29.09.2014. Получено 2014-09-29.
- ^ Салливан, Гейл (9 апреля 2014 г.). "Heartbleed: что вам следует знать". Вашингтон Пост. В архиве из оригинала 9 мая 2014 г.. Получено 14 мая 2014.
- ^ а б c Перлрот, Николь (18 апреля 2014 г.). «Heartbleed указывает на противоречие в сети». Нью-Йорк Таймс. В архиве из оригинала 8 мая 2014 г.. Получено 14 мая 2014.
- ^ Грабб, Бен (15 апреля 2014 г.). "График раскрытия информации: кто знал, что и когда". Sydney Morning Herald. В архиве из оригинала 25 ноября 2014 г.. Получено 14 мая 2014.
- ^ а б c Стокель-Уокер, Крис (25 апреля 2014 г.). «Интернет защищают два парня по имени Стив». BuzzFeed. В архиве из оригинала 15 мая 2014 г.. Получено 15 мая 2014.
- ^ Баранина, Пол (8 апреля 2014 г.). «Полмиллиона пользующихся доверием веб-сайтов уязвимы для ошибки Heartbleed». Netcraft ООО В архиве с оригинала 19 ноября 2014 г.. Получено 22 мая, 2014.
- ^ Янг, Эрик С. Раймонд; с предисловием Боба (2008). The Cathedral & the Bazaar Musings на Linux и с открытым исходным кодом от случайного революционера (2-е изд.). Севастополь: O'Reilly Media, Inc., стр. 30. ISBN 978-0596553968.
- ^ Бэббидж (6 мая 2014 г.). «Сердцебиение от катастрофы». Экономист. В архиве из оригинала 15 мая 2014 г.. Получено 15 мая 2014.
- ^ Финли, Клинт (22 января 2014 г.). «Биткойн-барон поддерживает секретную ОС с открытым исходным кодом». Проводной. В архиве из оригинала 11 мая 2014 г.. Получено 15 мая 2014.
- ^ а б Розенблатт, Сет (24 апреля 2014 г.). «Технические титаны объединяют свои силы, чтобы остановить следующее Heartbleed». CNET. В архиве из оригинала 17 мая 2014 г.. Получено 15 мая 2014.
- ^ «Инициатива по базовой инфраструктуре». Фонд Linux. В архиве из оригинала 10 сентября 2016 г.. Получено 25 июля 2016.
- ^ Финли, Клинт (24 апреля 2014 г.). «Twitter Facebook RSS Google, Facebook и Microsoft объединились, чтобы остановить еще одно сердцебиение». Проводной. В архиве из оригинала 14 мая 2014 г.. Получено 15 мая 2014.
- ^ а б Перлрот, Николь (24 апреля 2014 г.). «Инициатива компаний по поддержке OpenSSL и других проектов с открытым исходным кодом». Биты. Нью-Йорк Таймс. В архиве из оригинала 30 апреля 2014 г.. Получено 29 апреля 2014.
- ^ Воан-Николс, Стивен Дж. (24 апреля 2014 г.). «Cisco, Microsoft, VMware и другие технологические гиганты объединяются для реализации важных проектов с открытым исходным кодом». ZDNet. В архиве из оригинала 27 апреля 2014 г.. Получено 29 апреля 2014.
- ^ Уоррен, Кристина (24 апреля 2014 г.). «Facebook, Google, Microsoft объединяют усилия, чтобы предотвратить еще одно кровопролитие». Mashable. В архиве из оригинала 29 апреля 2014 г.. Получено 29 апреля 2014.
- ^ «Инициатива по базовой инфраструктуре Linux Foundation объявляет о новых спонсорах, первых проектах, получивших поддержку, и о членах консультативного совета» (Пресс-релиз). Фонд Linux. 29 мая 2014 г. Архивировано с оригинал 11 июля 2017 г.. Получено 23 июн 2014.
- ^ «Годовой отчет Инициативы по основной инфраструктуре за 2016 год» (PDF). Инициатива по базовой инфраструктуре. Архивировано из оригинал 6 ноября 2017 г.. Получено 14 апреля 2017.