Хочешь денег — добавь в свободный проект критическую уязвимость

Разработчики дырявого криптографического пакета OpenSSL получат финансирование со стороны Google, Facebook, Microsoft и других компаний. Предполагается, что денежные вливания смогут благотворно повлиять на качество программного кода OpenSSL.

Организация The Linux Foundation объявила о запуске проекта Core Infrastructure Initiative (CII) в качестве ответной меры на кризис, вызванный уязвимостью Heartbleed в OpenSSL. С помощью спонсоров из числа богатых корпораций The Linux Foundation обещает вложить «миллионы долларов» в разработку ключевых проектов Open Source и аудит их безопасности.

На первом этапе материальную помощь пообещали 13 компаний и сервисов: Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, RackSpace и VMware. Позже появятся другие. Технологические компании будут совместно обсуждать и решать, какие проекты СПО нуждаются в поддержке — и оплачивать труд программистов.

Первым проектом, который получит финансирование, станет OpenSSL, тем более что его разработчики недавно обращались к сообществу за помощью. Денег на оплату труда профессионалов категорически не хватает. Например, в последние годы проект жил на пожертвования около $2000 в год.

Добровольцы вроде доктора Робина Зеггельманна не справляются с исправлением всех багов, а иногда добавляют новые. Именно д-р Зеггельманн закоммитил патч со случайной ошибкой 1 января 2012 года (возможно, во время празднования нового года), позже этот баг получил название Heartbleed.

Ключевые разработчики OpenSSL получат финансовые и все другие ресурсы, необходимые для работы, а именно, для улучшения безопасности, привлечения сторонних аудиторов и ускорения обработки патчей.

Хотя проект CII запущен как ответная мера на Heartbleed, но аналогичную поддержку получат и другие проекты, которым не хватает средств на разработку, причем поддержка CII не ограничивается только вопросами безопасности. Это будет большое денежное вливание во все движение свободного ПО.

The Linux Foundation подчеркивает, что свободное ПО превосходит проприетарный софт по качеству кода и безопасности. Это показывают независимые исследования, в том числе последнее исследование Coverity Open Scan. Проблема в возросшей сложности ПО в последние годы, поддержке возрастающего количества платформ. Нужны дополнительные ресурсы для развития.

Комментарий редакции Либератума

Известный специалист в области криптографии Б. Шнайер оценил степень опасности последней уязвимости в OpenSSL в 11 баллов из 10. До этого спецы из криптографического сообщества предупреждали широкую общественность о «крайне низком качестве кода этой библиотеки» и даже сделали заявление, что OpenSSL писали обезьяны. Возникает вопрос: если дать обезьяне набитый долларами кошелек, превратится ли от этого обезьяна в профессионального программиста? И стоит ли вообще давать деньги за то, что другие люди обещали сделать бесплатно?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
6

Возникает вопрос: если дать обезьяне набитый долларами кошелек, превратится ли от этого обезьяна в профессионального программиста?

Ответ более чем очевиден. Даже «обезьяна» сможет заинтиресовать настоящего профессионала. Тем более, если вдруг появятся деньги.
А потом, кто вам сказал, что в Опен всё лучшее? Тут логика проста. Не нравится, ковыряй сам.
Вот Б. Шнайер и поковырял.

Ваша оценка: Нет
11
pomodor

Даже «обезьяна» сможет заинтиресовать настоящего профессионала.

Не понял, мы сейчас о каких профессионалах говорим? К криптографах или о работниках зоопарка? Так... На всякий случай уточняю. ;)

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.