Slik skal neste «Heartbleed» stoppes

Nesten alle de store teknologiselskapene, og mange flere mindre aktører, benytter sikkerhetsfunksjonaliteten som OpenSSL-bibliotektet tilbyr. Men svært få av selskapene har gitt noe tilbake, verken i form av finansiering av prosjektet, kodebidrag eller kvalitetssikring. Derfor har OpenSSL-prosjektet framstått som underbemannet og underfinansiert, noe som er en del av forklaringen på hvorfor enkle kodefeilen som forårsaket Heartbleed-sårbarheten, ikke ble oppdaget før etter to år.

Til tross for at Heartbleed har skapt store utfordringer, har sårbarheten også gjort bransjen mer oppmerksom på at sikkerhet ikke kommer av seg selv, heller ikke i sentral infrastruktur.

I går kunngjorde derfor Linux Foundation at den har etablert et nytt prosjekt som skal finansiere og støtte kritiske elementer i den globale informasjonsinfrastrukturen. Prosjektet kalles for Core Infrastructure Initiative og skal være sted hvor teknologiselskaper kan samarbeide om å identifisere og finansiere åpen kildekode-prosjekter som har behov for assistanse.

Allerede fra starten av har Linux Foundation fått med seg en rekke tungvektere, inkludert Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace og VMware. Det er ventet at medlemslisten vil vokse raskt i tiden framover.

Det første prosjektet som initiativet vurderer å støtte er ikke overraskende OpenSSL. Prosjektet vil i så fall kunne få både pengestøtte til å lønne sentrale utviklere på fulltid og assistanse i forbindelse med sikkerhetsforbedringer, ekstern revidering av kode og raskere respons på henvendelser om feilretting.

Core Infrastructure Initiative har allerede et budsjett på flere millioner dollar. Det vil administreres av Linux Foundation og en styringsgruppe bestående av deltakere fra aktører som støtter initiativet, sentrale åpen kildekode-utviklere og andre interesserte i bransjen.

– Vi utvider arbeidet vi allerede gjør med Linux-kjernen til andre prosjekter som kan ha behov for støtte. Vår globale økonomi bygger på toppen av mange åpen kildekode-prosjekter. Slik Linux Foundation har finansiert Linus Torvald til å kunne fokusere 100 prosent på Linux-utvikling, vil vi nå kunne støtte ytterligere utviklere og administratorer til å jobbe fulltid ved å støtte andre essensielle åpen kildekode-prosjekter, sier Jim Zemlin, administrerende direktør i Linux Foundation i en pressemelding.

– Vi er takknemlige for innsatsviljen til disse bransjelederne om å sikre fortsatt vekst og pålitelighet for kritiske åpen kildekodeprosjekter som OpenSSL.

Mange av aktørene som nå har stilt seg bak initiativet, har selv blitt berørt av Heartbleed. Deres deltakelse kommer derfor ikke som noen stor overraskelse. Men Microsoft skiller seg ut. Selskapets produkter benytter ikke OpenSSL og var dermed ikke berørt av Heartbleed.

– Sikkerhet er noe som angår hele bransjen og som krever samarbeid på tvers av hele bransjen, sier Steve Lipner, partnerdirektør for programvaresikkerhet hos Microsoft i en uttalelse. Han sier videre at Core Infrastructure Initiative peker i samme retning som selskapets egen deltakelse i åpen kildekode og med framskrittene innen sikker utvikling på tvers av alle plattformer, enheter og tjenester.

Leave a Reply

Your email address will not be published.