Itt a válasz a Heartbleed-válságra

A Heartbleed néven emlegetett nulladik napi hiba felfedezése az OpenSSL-ben komoly biztonsági aggályokat vetett fel. Több cég is igyekezett gyorsan reagálni, mi is mutattunk egy ingyenes Heartbleed-szkennert, illetve egy olyan Chrome-bővítményt, amellyel kiszűrhetők az ilyen réssel rendelkező oldalak.

Az eset egyúttal azzal is járt, hogy sokak hite megingott a nyílt forráskódú programok biztonságában, talán ezért is lépett a Linux Foundation. Bejelentette egy új szövetség megalakulását, amellyel talán elejét lehetne venni egy újabb Heartbleed-esetnek.

A Core Infrastructure Initative (CII) nevű tömörüléshez olyan nagy nevek csatlakoztak, mint a Microsoft, a Google, a Facebook, az Intel, a Dell, az IBM, az Amazon vagy a WMware. A céljuk, hogy anyagilag és persze szakmailag támogassák a nyílt forráskódú projekteket, lehetővé tegyék, hogy a fejelesztők teljes munkaidőben dolgozhassanak, segítsenek feltárni a projektek hibáit, külső értékeléseket készítsenek róluk, fizessék a biztonsági auditokat. Az első támogatott projekt egyébként éppen az OpenSSL.

Mindennek hátterében az áll, hogy a nyílt forráskódú projektek igen hasznosak, azonban közülük túl sok, nem utolsósorban a kritikusak, alulfinanszírozottak. Az OpenSSL projekt például évente mindössze 2000 dolláros támogatással gazdálkodhatott. (Igaz, a Heartbleed-válság óta már több mint 1700 dollárt kaptak magánszemélyektől.)

Bár a CII a Heartbleed biztonsági válságra adott válasz, a tömörülés erőfeszítései nem csupán a biztonsági kérdésekre korlátozódnak.