Инициатива по базовой инфраструктуре
| Инициатива по базовой инфраструктуре | |
|---|---|
 | |
| Заявление о миссии | «Для финансирования проектов с открытым исходным кодом, которые находятся на критическом пути для основных вычислительных функций». |
| Коммерческий? | Нет |
| Основатель | Джим Землян |
| Учредил | 24 апреля 2014 г. [1] |
| Финансирование | Пожертвованиями |
| Статус | Заменен OpenSSF |
Core Infrastructure Initiative ( CII ) — это проект Linux Foundation по финансированию и поддержке проектов бесплатного программного обеспечения с открытым исходным кодом , которые имеют решающее значение для функционирования Интернета и других основных информационных систем. О проекте было объявлено 24 апреля 2014 года после Heartbleed , критической ошибки безопасности в OpenSSL , которая используется на миллионах веб-сайтов.
OpenSSL является одним из первых программных проектов, финансируемых этой инициативой после того, как он был признан недостаточно финансируемым, получая всего около 2000 долларов в год в виде пожертвований. [1] Инициатива будет спонсировать двух штатных разработчиков ядра OpenSSL. [2] В сентябре 2014 года Инициатива предложила помощь Чету Рэми, сопровождающему bash , после того, как была обнаружена уязвимость Shellshock . [3]
С тех пор CII был заменен Open Source Security Foundation . [4]
Ошибка сердечного кровотечения
[ редактировать ]
OpenSSL — это (TLS) с открытым исходным кодом реализация Transport Layer Security , позволяющая любому проверить ее исходный код. [5] Например, он используется смартфонами под управлением операционной системы Android и некоторыми маршрутизаторами Wi-Fi , а также такими организациями, как Amazon.com , Facebook , Netflix , Yahoo! США , Федеральное бюро расследований и Агентство по доходам Канады . [6]
7 апреля 2014 года ошибка Heartbleed в OpenSSL была публично раскрыта и исправлена. [7] Уязвимость, которая присутствовала в текущей версии OpenSSL более двух лет, [8] предоставил хакерам возможность получать такую информацию, как имена пользователей , пароли и номера кредитных карт, из предположительно безопасных транзакций. На тот момент считалось, что около 17% (около полумиллиона) защищенных веб-серверов Интернета, сертифицированных доверенными органами, уязвимы для атаки. [9]
Программное обеспечение с открытым исходным кодом
[ редактировать ]Согласно закону Лайнуса из книги Раймонда «Собор и базар» : «При достаточном количестве глаз все жуки мелкие». [10] Другими словами, если над программным обеспечением работает достаточное количество людей, проблема будет найдена быстро и для кого-то ее решение будет очевидным. Рэймонд заявил в интервью, что «не было никакого внимания» к ошибке Heartbleed. [6]
До финансирования CII только один человек, Стивен Хенсон, работал над OpenSSL полный рабочий день; Хенсон одобрил более половины обновлений более чем 450 000 строк исходного кода OpenSSL. [11] Помимо Хенсона, в компании есть три основных программиста-добровольца. Проект OpenSSL существовал с бюджетом в 2000 долларов в год в виде пожертвований, чего было достаточно, чтобы покрыть счета за электричество, а Стив Хенсон зарабатывал около 20 000 долларов в год. [8] Чтобы получить больше доходов от проекта, Стив Маркиз, консультант Министерства обороны, создал OpenSSL Software Foundation. Это позволило программистам заработать немного денег, консультируя организации, использовавшие этот код. Однако фонд приносил менее 1 миллиона долларов в год. [6] и работа по контракту, как правило, была сосредоточена на добавлении новых функций, а не на поддержании старых. [8]
Другие проекты программного обеспечения с открытым исходным кодом сталкиваются с аналогичными трудностями. Например, разработчикам OpenBSD , операционной системы, заботящейся о безопасности, в начале 2014 года едва не пришлось закрыть проект, поскольку он не мог оплатить счета за электроэнергию. [12]
Инициатива
[ редактировать ]Джим Землян, исполнительный директор Linux Foundation, задумал идею Core Infrastructure Initiative вскоре после анонса Heartbleed и провел ночь 23 апреля, обращаясь к фирмам за поддержкой. [13] Тринадцать компаний откликнулись и присоединились к инициативе: Amazon Web Services , Cisco Systems , Dell , Facebook , Fujitsu , Google , IBM , Intel , Microsoft , NetApp , Rackspace , Qualcomm и VMware . [14] [15] Список в основном определялся тем, кого знал Землян. [13] Каждая из тринадцати компаний обязалась жертвовать по 100 000 долларов в год в течение следующих трех лет, в результате чего первоначальный пул финансирования составил почти 4 миллиона долларов. [16] [17] [18] Еще пять компаний — Adobe Systems , Bloomberg LP , Hewlett-Packard , Huawei и Salesforce.com — с тех пор присоединились к инициативе. [19]
Деньги, собранные CII, использовались для финансирования конкретных задач, таких как предоставление компенсаций разработчикам, работающим полный рабочий день над проектом программного обеспечения с открытым исходным кодом, проведение проверок и аудитов безопасности , развертывание инфраструктуры тестирования , а также содействие командировкам и личным встречам. встречи среди разработчиков. [2]
CII состоял из двух органов: руководящего комитета и консультативного совета. Руководящий комитет состоял из представителей компаний-членов и других заинтересованных сторон отрасли. [2] [16] и комитет отвечал за определение целевых проектов программного обеспечения и утверждение конкретного финансирования этих проектов. Консультативный совет, состоящий из разработчиков и других заинтересованных сторон, давал рекомендации руководящему комитету. [2]
Проекты, поддержанные в 2016 году
[ редактировать ]| Название проекта | Тип | Финансирование (долл. США) | веб-сайт |
|---|---|---|---|
| Фрама-С | Инструмент разработчика | 192,000 | [1] |
| ГнуПГ | Системный инструмент или приложение | 60,000 | [2] |
| Демон протокола сетевого времени | Системный инструмент или приложение | 180,000 | |
| OpenSSH | Системный инструмент или приложение | 50,000 | [3] |
| OpenSSL | Библиотека разработчиков | 550,000 | [4] |
| Прокси-сервер OWASP Zed Attack | Инструмент или проект тестирования | 23,000 | [5] Архивировано 29 марта 2018 г. на Wayback Machine. |
| Воспроизводимые сборки | Инструмент или проект тестирования | 250,000 | [6] |
| Фаззинг-проект | Инструмент или проект тестирования | 60,000 | [7] |
| Проект самозащиты ядра Linux | Системный инструмент или приложение | 80,000 | [8] |
| NTPsec | Системный инструмент или приложение | 150,000 | [9] |
| Надувной замок | Библиотека разработчиков | 15,000 | [10] |
Core Infrastructure Initiative также инвестировала 120 000 долларов США в обучение передовым практикам разработки с открытым исходным кодом, 120 000 долларов США в анализ популярных проектов с открытым исходным кодом и 95 000 долларов США в аудит OpenSSL. [20]
Ссылки
[ редактировать ]- ^ Перейти обратно: а б «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и The Linux Foundation формируют новую инициативу по поддержке критически важных проектов с открытым исходным кодом» (пресс-релиз). Фонд Linux. 24 апреля 2014 года. Архивировано из оригинала 10 июня 2016 года . Проверено 25 июля 2016 г.
- ^ Перейти обратно: а б с д «Часто задаваемые вопросы по основной инфраструктурной инициативе» . Фонд Linux. Архивировано из оригинала 14 апреля 2016 года . Проверено 25 июля 2016 г.
- ^ «Эксперты по безопасности ожидают, что ошибка в программном обеспечении «Shellshock» будет серьезной» . Таймс оф Индия . Архивировано из оригинала 29 сентября 2014 г. Проверено 29 сентября 2014 г.
- ^ "Дом" . Инициатива по базовой инфраструктуре . Проверено 20 января 2023 г.
- ^ Салливан, Гейл (9 апреля 2014 г.). «Heartbleed: Что вам следует знать» . Вашингтон Пост . Архивировано из оригинала 9 мая 2014 года . Проверено 14 мая 2014 г.
- ^ Перейти обратно: а б с Перлрот, Николь (18 апреля 2014 г.). «Heartbleed подчеркивает противоречие в сети» . Нью-Йорк Таймс . Архивировано из оригинала 8 мая 2014 года . Проверено 14 мая 2014 г.
- ^ Грабб, Бен (15 апреля 2014 г.). «График раскрытия информации: кто знал, что и когда» . Сидней Морнинг Геральд . Архивировано из оригинала 25 ноября 2014 года . Проверено 14 мая 2014 г.
- ^ Перейти обратно: а б с Стокел-Уокер, Крис (25 апреля 2014 г.). «Интернет защищают два парня по имени Стив» . БаззФид . Архивировано из оригинала 15 мая 2014 года . Проверено 15 мая 2014 г.
- ^ Баранина, Пол (8 апреля 2014 г.). «Полмиллиона широко надежных веб-сайтов уязвимы для ошибки Heartbleed» . Netcraft Ltd. Архивировано из оригинала 19 ноября 2014 года . Проверено 22 мая 2014 г.
- ^ Янг, Эрик С. Рэймонд; с предисловием Боба (2008). Размышления случайного революционера о Linux и открытом исходном коде в соборе и базаре (2-е изд.). Севастополь: O'Reilly Media, Inc. с. 30. ISBN 978-0596553968 .
{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Бэббидж (6 мая 2014 г.). «Сердцебиение от катастрофы» . Экономист . Архивировано из оригинала 15 мая 2014 года . Проверено 15 мая 2014 г.
- ^ Финли, Клинт (22 января 2014 г.). «Биткойн Барон поддерживает секретную ОС с открытым исходным кодом» . Проводной . Архивировано из оригинала 11 мая 2014 года . Проверено 15 мая 2014 г.
- ^ Перейти обратно: а б Розенблатт, Сет (24 апреля 2014 г.). «Технические титаны объединяют усилия, чтобы остановить следующее Heartbleed» . CNET . Архивировано из оригинала 17 мая 2014 года . Проверено 15 мая 2014 г.
- ^ «Инициатива по базовой инфраструктуре» . Фонд Linux. Архивировано из оригинала 10 сентября 2016 года . Проверено 25 июля 2016 г.
- ^ Финли, Клинт (24 апреля 2014 г.). «Twitter Facebook RSS Google, Facebook и Microsoft объединяются, чтобы остановить еще одно кровотечение» . Проводной . Архивировано из оригинала 14 мая 2014 года . Проверено 15 мая 2014 г.
- ^ Перейти обратно: а б Перлрот, Николь (24 апреля 2014 г.). «Компании поддерживают инициативу по поддержке OpenSSL и других проектов с открытым исходным кодом» . Биты . Нью-Йорк Таймс. Архивировано из оригинала 30 апреля 2014 года . Проверено 29 апреля 2014 г.
- ^ Воган-Николс, Стивен Дж. (24 апреля 2014 г.). «Cisco, Microsoft, VMware и другие технологические гиганты объединяются в рамках важных проектов с открытым исходным кодом» . ЗДНет . Архивировано из оригинала 27 апреля 2014 года . Проверено 29 апреля 2014 г.
- ^ Уоррен, Кристина (24 апреля 2014 г.). «Facebook, Google и Microsoft объединяют усилия, чтобы предотвратить еще одно кровотечение» . Машаемый . Архивировано из оригинала 29 апреля 2014 года . Проверено 29 апреля 2014 г.
- ^ «Инициатива основной инфраструктуры Linux Foundation объявляет о новых спонсорах, первых проектах, получивших поддержку, и членах консультативного совета» (пресс-релиз). Фонд Linux. 29 мая 2014 года. Архивировано из оригинала 11 июля 2017 года . Проверено 23 июня 2014 г.
- ^ «Годовой отчет основной инфраструктурной инициативы за 2016 год» (PDF) . Инициатива базовой инфраструктуры. Архивировано из оригинала 6 ноября 2017 года . Проверено 14 апреля 2017 г.