Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Инициатива основной инфраструктуры
Логотип Core Infrastructure Initiative.png
Заявление о миссии«Для финансирования проектов с открытым исходным кодом, которые находятся на критическом пути для основных вычислительных функций».
Коммерческий?Нет
ОсновательДжим Землин
Учредил24 апреля 2014 [1] ( 2014-04-24 )
ФинансированиеПожертвованиями
Интернет сайтwww .coreinfrastructure .org

Основная инфраструктура Инициатива ( CII ) является проектом Linux Foundation в фонд поддержки и программное обеспечение бесплатно и с открытым исходным кодом проектов , которые имеют решающее значение для функционирования других основных информационных систем в Интернете и. О проекте было объявлено 24 апреля 2014 года после Heartbleed , критической ошибки безопасности в OpenSSL, которая используется на миллионах веб-сайтов.

OpenSSL является одним из первых программных проектов, финансируемых этой инициативой после того, как он был признан недофинансированным, получая только около 2000 долларов в год в виде пожертвований. [1] Инициатива будет спонсировать двух постоянных разработчиков ядра OpenSSL. [2] В сентябре 2014 года Инициатива предложила помощь Чету Рэми, разработчику bash , после того, как была обнаружена уязвимость Shellshock . [3]

Ошибка Heartbleed [ править ]

Основная статья: Heartbleed
Логотип, представляющий Heartbleed

OpenSSL - это реализация протокола безопасности транспортного уровня (TLS) с открытым исходным кодом , позволяющая любому желающему проверить его исходный код. [4] Например, он используется смартфонами под управлением операционной системы Android и некоторыми маршрутизаторами Wi-Fi , а также такими организациями, как Amazon.com , Facebook , Netflix , Yahoo! , Федеральное бюро расследований Соединенных Штатов Америки и Налоговое управление Канады . [5]

7 апреля 2014 г. была публично раскрыта и исправлена ​​ошибка OpenSSL Heartbleed. [6] Уязвимость, которая использовалась в текущей версии OpenSSL более двух лет, [7] позволяла хакерам извлекать такую ​​информацию, как имена пользователей , пароли и номера кредитных карт, из предположительно безопасных транзакций. В то время около 17% (около полумиллиона) защищенных веб-серверов Интернета, сертифицированных доверенными органами, считались уязвимыми для атаки. [8]

Программное обеспечение с открытым исходным кодом [ править ]

Согласно закону Лайнуса из книги Раймонда « Собор и базар» : «При достаточном количестве глазных яблок все жуки мелкие». [9] Другими словами, если над программой работает достаточное количество людей, проблема будет обнаружена быстро, и кому-то будет очевидно ее решение. Рэймонд заявил в интервью, что «не было никаких глазных яблок» для ошибки Heartbleed. [5]

До финансирования CII только один человек, Стивен Хенсон, работал над OpenSSL полный рабочий день; Хенсон одобрил более половины обновлений более чем 450 000 строк исходного кода OpenSSL. [10] Помимо Хенсона, есть еще три основных программиста-добровольца. Бюджет проекта OpenSSL составлял 2000 долларов в год в виде пожертвований, чего было достаточно, чтобы покрыть счет за электричество, а Стив Хенсон зарабатывал около 20 000 долларов в год. [7] Чтобы собрать больше доходов для проекта, Стив Маркиз, консультант Министерства обороны, создал OpenSSL Software Foundation. Это позволяло программистам подрабатывать, консультируя организации, которые использовали код. Однако фонд приносил менее 1 миллиона долларов в год [5].и работа по контракту была сосредоточена на добавлении новых функций, а не на поддержании старых. [7]

Другие проекты программного обеспечения с открытым исходным кодом сталкиваются с аналогичными трудностями. Например, разработчикам OpenBSD , операционной системы, заботящейся о безопасности, в начале 2014 года почти пришлось закрыть проект, потому что он не мог оплатить счета за электричество. [11]

Инициатива [ править ]

Джим Землин, исполнительный директор Linux Foundation, задумал идею Core Infrastructure Initiative вскоре после объявления Heartbleed и провел ночь 23 апреля, обращаясь к фирмам за поддержкой. [12] Тринадцать компаний откликнулись и присоединились к инициативе: Amazon Web Services , Cisco Systems , Dell , Facebook , Fujitsu , Google , IBM , Intel , Microsoft , NetApp , Rackspace , Qualcomm и VMware . [13] [14]Список в основном определялся тем, кого Землин знал. [12] Каждая из тринадцати компаний обязалась жертвовать 100 000 долларов в год в течение следующих трех лет, доведя первоначальный фонд финансирования почти до 4 миллионов долларов. [15] [16] [17] Еще пять компаний- Adobe Systems , Bloomberg LP , Hewlett-Packard , Huawei , и Salesforce.com - с тех пор присоединились к инициативе. [18]

Деньги, которые пулы CII будут использоваться для финансирования конкретных задач, таких как предоставление компенсаций разработчикам за постоянную работу над проектом с открытым исходным кодом, проведение обзоров и аудитов безопасности , развертывание тестовой инфраструктуры и облегчение поездок и личных встреч встречи между разработчиками. [2]

CII будет состоять из двух органов: руководящего комитета и консультативного совета. Руководящий комитет будет состоять из представителей компаний-членов и других заинтересованных сторон отрасли [2] [15], и комитет будет отвечать за определение целевых проектов программного обеспечения и утверждение конкретного финансирования для этих проектов. Консультативный совет, состоящий из разработчиков и других заинтересованных сторон, будет давать рекомендации руководящему комитету. [2]

Проекты, поддержанные в 2016 г. [ править ]

название проектаТипФинансирование (долл. США)интернет сайт
Фрама-СИнструмент разработчика192 000[1]
GnuPGСистемный инструмент или приложение60 000[2]
Демон сетевого протокола времениСистемный инструмент или приложение180 000
OpenSSHСистемный инструмент или приложение50 000[3]
OpenSSLБиблиотека разработчика550 000[4]
OWASP Zed Attack ProxyИнструмент или проект для тестирования23 000[5]
Воспроизводимые сборкиИнструмент или проект для тестирования250 000[6]
Проект FuzzingИнструмент или проект для тестирования60 000[7]
Проект самозащиты ядра LinuxСистемный инструмент или приложение80 000[8]
NTPsecСистемный инструмент или приложение150 000[9]
Надувной ЗамокБиблиотека разработчика15 000[10]

В рамках Инициативы базовой инфраструктуры также было инвестировано 120 000 долларов США на обучение передовым методам разработки с открытым исходным кодом, 120 000 долларов США на анализ популярных проектов с открытым исходным кодом и 95 000 долларов США на аудит OpenSSL [19]

Ссылки [ править ]

  1. ^ a b «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и Linux Foundation формируют новую инициативу по поддержке критически важных проектов с открытым исходным кодом» (пресс-релиз). Фонд Linux. 24 апреля 2014 года. Архивировано 10 июня 2016 года . Проверено 25 июля 2016 года .
  2. ^ a b c d "Часто задаваемые вопросы об инициативе в области базовой инфраструктуры" . Фонд Linux. Архивировано 14 апреля 2016 года . Проверено 25 июля 2016 года .
  3. ^ «Эксперты по безопасности ожидают, что программная ошибка Shellshock будет значительной» . Таймс оф Индия . Архивировано 29 сентября 2014 года . Проверено 29 сентября 2014 .
  4. Салливан, Гейл (9 апреля 2014 г.). «Heartbleed: что вам следует знать» . Вашингтон Пост . Архивировано 9 мая 2014 года . Дата обращения 14 мая 2014 .
  5. ^ a b c Перлрот, Николь (18 апреля 2014 г.). «Heartbleed выявляет противоречие в сети» . Нью-Йорк Таймс . Архивировано 8 мая 2014 года . Дата обращения 14 мая 2014 .
  6. Рианна Грабб, Бен (15 апреля 2014 г.). «Хронология обескураживающего раскрытия информации: кто знал, что и когда» . Сидней Морнинг Геральд . Архивировано 25 ноября 2014 года . Дата обращения 14 мая 2014 .
  7. ^ a b c Стокель-Уокер, Крис (25 апреля 2014 г.). «Интернет защищают два парня по имени Стив» . BuzzFeed . Архивировано 15 мая 2014 года . Проверено 15 мая 2014 .
  8. ^ Баранина, Пол (8 апреля 2014). «Полмиллиона пользующихся доверием веб-сайтов уязвимы перед ошибкой Heartbleed» . Netcraft Ltd. Архивировано 19 ноября 2014 года . Проверено 22 мая 2014 года .
  9. ^ Янг, Эрик С. Раймонд; с предисловием Боба (2008). Собор и Базар Размышления о Linux и открытом исходном коде случайно-революционером (2-е изд.). Севастополь: O'Reilly Media, Inc., стр. 30. ISBN 978-0596553968.
  10. Бэббидж (6 мая 2014 г.). «Сердцебиение от катастрофы» . Экономист . Архивировано 15 мая 2014 года . Проверено 15 мая 2014 .
  11. Рианна Финли, Клинт (22 января 2014 г.). «Биткойн-барон поддерживает секретную ОС с открытым исходным кодом» . Проводной . Архивировано 11 мая 2014 года . Проверено 15 мая 2014 .
  12. ^ a b Розенблатт, Сет (24 апреля 2014 г.). «Технические титаны объединяют свои силы, чтобы остановить следующее Heartbleed» . CNET . Архивировано 17 мая 2014 года . Проверено 15 мая 2014 .
  13. ^ «Инициатива основной инфраструктуры» . Фонд Linux. Архивировано 10 сентября 2016 года . Проверено 25 июля 2016 года .
  14. Рианна Финли, Клинт (24 апреля 2014 г.). «Twitter, Facebook RSS, Google, Facebook и Microsoft объединяются, чтобы остановить еще одно сердцебиение» . Проводной . Архивировано 14 мая 2014 года . Проверено 15 мая 2014 .
  15. ^ a b Перлрот, Николь (24 апреля 2014 г.). «Инициатива компаний по поддержке OpenSSL и других проектов с открытым исходным кодом» . Биты . Нью-Йорк Таймс. Архивировано 30 апреля 2014 года . Проверено 29 апреля 2014 года .
  16. Перейти ↑ Vaughan-Nichols, Steven J. (24 апреля 2014 г.). «Cisco, Microsoft, VMware и другие технологические гиганты объединяются для реализации важных проектов с открытым исходным кодом» . ZDNet . Архивировано 27 апреля 2014 года . Проверено 29 апреля 2014 года .
  17. ^ Уоррен, Кристина (24 апреля 2014 г.). «Facebook, Google, Microsoft объединяют усилия, чтобы предотвратить еще одно сердцебиение» . Mashable . Архивировано 29 апреля 2014 года . Проверено 29 апреля 2014 года .
  18. ^ «Инициатива основной инфраструктуры Linux Foundation объявляет о новых спонсорах, первых проектах, получивших поддержку, и о членах консультативного совета» (пресс-релиз). Фонд Linux. 29 мая 2014. Архивировано из оригинала 11 июля 2017 года . Проверено 23 июня 2014 .
  19. ^ «Годовой отчет Инициативы по основной инфраструктуре за 2016 год» (PDF) . Инициатива по базовой инфраструктуре. Архивировано из оригинала на 6 ноября 2017 года . Проверено 14 апреля 2017 года .

Внешние ссылки [ править ]

  • Официальный веб-сайт
  • Воспроизводимые сборки