Inicjatywa dotycząca infrastruktury podstawowej
| Inicjatywa dotycząca infrastruktury podstawowej | |
|---|---|
 | |
| Deklaracja misji | „Aby finansować projekty open source, które znajdują się na ścieżce krytycznej dla podstawowych funkcji obliczeniowych”. |
| Handlowy? | NIE |
| Założyciel | Jim Zemlin |
| Przyjęty | 24 kwietnia 2014 |
| Finansowanie | Poprzez darowizny |
| Status | Zastąpiony przez OpenSSF |
Inicjatywa Core Infrastructure ( CII ) była projektem Fundacji Linuksa mającym na celu finansowanie i wspieranie projektów wolnego i otwartego oprogramowania , które mają kluczowe znaczenie dla funkcjonowania Internetu i innych głównych systemów informatycznych. Projekt został ogłoszony 24 kwietnia 2014 r. w następstwie Heartbleed , krytycznego błędu bezpieczeństwa w OpenSSL , który jest używany na milionach stron internetowych.
OpenSSL jest jednym z pierwszych projektów oprogramowania, które zostały sfinansowane przez tę inicjatywę po tym, jak uznano, że jest niedofinansowany, otrzymując jedynie około 2000 USD rocznie w postaci darowizn. Inicjatywa będzie sponsorować dwóch pełnoetatowych głównych programistów OpenSSL. We wrześniu 2014 r. Inicjatywa zaoferowała pomoc Chetowi Rameyowi, opiekunowi bash , po wykryciu podatności Shellshock .
Od tego czasu CII zostało zastąpione przez Open Source Security Foundation .
Błąd serca
OpenSSL to implementacja protokołu Transport Layer Security (TLS) typu open source , umożliwiająca każdemu sprawdzenie kodu źródłowego. Jest używany na przykład przez smartfony z systemem operacyjnym Android i niektóre routery Wi-Fi oraz przez organizacje, w tym Amazon.com , Facebook , Netflix , Yahoo! , Federalne Biuro Śledcze Stanów Zjednoczonych Ameryki oraz Kanadyjska Agencja Skarbowa .
W dniu 7 kwietnia 2014 r. Błąd Heartbleed OpenSSL został publicznie ujawniony i naprawiony. Luka, która była dostarczana w aktualnej wersji OpenSSL przez ponad dwa lata, umożliwiła hakerom uzyskanie informacji, takich jak nazwy użytkowników , hasła i numery kart kredytowych z rzekomo bezpiecznych transakcji. W tamtym czasie uważano, że około 17% (około pół miliona) bezpiecznych serwerów internetowych certyfikowanych przez zaufane władze było narażonych na atak.
Oprogramowanie typu open source
Zgodnie z prawem Linusa , z książki Raymonda The Cathedral and the Bazaar : „Biorąc pod uwagę wystarczającą ilość gałek ocznych, wszystkie robale są płytkie”. Innymi słowy, jeśli nad oprogramowaniem pracuje wystarczająca liczba osób, problem zostanie szybko znaleziony, a jego rozwiązanie będzie dla kogoś oczywiste. Raymond stwierdził w wywiadzie, że „nie było żadnych gałek ocznych” dla błędu Heartbleed.
Przed finansowaniem CII tylko jedna osoba, Stephen Henson, pracowała w pełnym wymiarze godzin nad OpenSSL; Henson zatwierdził znacznie ponad połowę aktualizacji ponad 450 000 wierszy kodu źródłowego OpenSSL. Oprócz Hensona jest trzech głównych programistów-wolontariuszy. Projekt OpenSSL istniał z budżetem 2000 USD rocznie z darowizn, co wystarczało na pokrycie rachunków za prąd, a Steve Henson zarabiał około 20 000 USD rocznie. Aby uzyskać większe dochody z projektu, Steve Marquess, konsultant Departamentu Obrony, stworzył OpenSSL Software Foundation. Pozwoliło to programistom zarobić trochę pieniędzy, konsultując się z organizacjami, które używały kodu. Jednak fundacja przynosiła mniej niż 1 milion dolarów rocznie, a prace kontraktowe skupiały się raczej na dodawaniu nowych funkcji niż utrzymywaniu starych.
Inne projekty oprogramowania open source mają podobne trudności. Na przykład opiekunowie OpenBSD , świadomego bezpieczeństwa systemu operacyjnego, prawie musieli zamknąć projekt na początku 2014 r., ponieważ nie był w stanie opłacić rachunków za prąd.
Inicjatywa
Adobe Systems Jim Zemlin, dyrektor wykonawczy Linux Foundation, wpadł na pomysł Core Infrastructure Initiative niedługo po ogłoszeniu Heartbleed i spędził noc 23 kwietnia dzwoniąc do firm z prośbą o wsparcie. Trzynaście firm odpowiedziało i przyłączyło się do inicjatywy: Amazon Web Services , Cisco Systems , Dell , Facebook , Fujitsu , Google , IBM , Intel , Microsoft , NetApp , Rackspace , Qualcomm i VMware . Lista została ustalona głównie przez to, kogo znał Zemlin. Każda z trzynastu firm zobowiązała się do przekazywania 100 000 USD rocznie przez następne trzy lata, zwiększając początkową pulę finansowania do prawie 4 milionów USD. Od tego czasu do inicjatywy dołączyło kolejnych pięć firm — <a i=27>Adobe , Bloomberg LP , Hewlett-Packard , Huawei i Salesforce.com .
Pieniądze zebrane przez CII zostały wykorzystane do sfinansowania określonych zadań, takich jak wynagrodzenie programistów za pracę w pełnym wymiarze godzin nad projektem oprogramowania open source, przeprowadzanie przeglądów i audytów bezpieczeństwa, wdrażanie infrastruktury testowej oraz ułatwianie podróży i bezpośrednich spotkań . spotkania deweloperów.
CII składała się z dwóch organów, komitetu sterującego i rady doradczej. Komitet sterujący składał się z przedstawicieli firm członkowskich i innych interesariuszy z branży, a komitet był odpowiedzialny za identyfikację docelowych projektów oprogramowania i zatwierdzanie konkretnych funduszy na te projekty. Rada doradcza, złożona z programistów i innych interesariuszy, doradzała komitetowi sterującemu.
Projekty objęte wsparciem w 2016 r
| Nazwa Projektu | Typ | Finansowanie (USD) | strona internetowa |
|---|---|---|---|
| Frama-C | Narzędzie deweloperskie | 192 tys | [1] |
| GnuPG | Narzędzie systemowe lub aplikacja | 60 000 | [2] |
| Demon protokołu czasu sieciowego | Narzędzie systemowe lub aplikacja | 180 000 | |
| OpenSSH | Narzędzie systemowe lub aplikacja | 50 000 | [3] |
| OpenSSL | Biblioteka programistów | 550 000 | [4] |
| Serwer proxy ataku Zeda OWASP | Narzędzie do testowania lub projekt | 23 000 | [5] |
| Powtarzalne kompilacje | Narzędzie do testowania lub projekt | 250 000 | [6] |
| Projekt Fuzzing | Narzędzie do testowania lub projekt | 60 000 | [7] |
| Projekt samoobrony jądra Linuksa | Narzędzie systemowe lub aplikacja | 80 000 | [8] |
| NTPsec | Narzędzie systemowe lub aplikacja | 150 000 | [9] |
| Dmuchany zamek | Biblioteka programistów | 15 000 | [10] |
Inicjatywa Core Infrastructure zainwestowała również 120 000 USD w edukację w zakresie dobrych praktyk programowania open source, 120 000 USD w analizę popularnych projektów open source i 95 000 USD w audyt OpenSSL