5月29日,Linux基金会宣布了第一批加入其开源代码测试和安全审查的协议,而Heartbleed漏洞的OpenSSL也列在其中,这不足为奇。
自上个月的Heartbleed漏洞事件后,几大科技公司(包括亚马逊、思科、戴尔、Facebook、微软和IBM)推出了核心基础设施倡议(CII)。Heartbleed是上个月在OpenSSL加密协议中发现的严重的安全漏洞,全球范围的很多使用OpenSSL协议的服务器、客户端软件、网络及安全产品都在努力修复这个漏洞,更换数字证书,并更改密码。
除了筹集资金审核OpenSSL协议代码外,CII今天还称其安全审查还将包括另外两个广泛使用的协议:OpenSSH和Network Time协议(NTP)。NTP最近受到广泛关注,因为该协议被滥用,以产生拒绝服务攻击。
CII组织并没有明确将有多少资金投入到这些安全审查中,但该组织确认从其创始成员中已经筹集了超过500万美元。
CII试图协调OpenSSL项目以及两个全职核心开发人员的工作。Open Crypto Audit项目也将获得来自CII的资金支持,以执行对OpenSSL代码库的安全审查。
此外,CII当天还宣布Adobe、彭博社、惠普、华为和Salesforce.com加入了该组织。CII表示他们正在建立咨询委员会和指导委员会来确定最需要帮助的开源项目。
CII顾问委员会成员包括Linux内核开发者Alan Cox;Open Crypto Audit项目的Matt Green;Radio Free Asia的开放技术基金会的Dan Meredith;软件自由法律中心的Eben Moglen;哈佛法学院伯克曼互联网与社会中心Bruce Schneier;MacArthur基金会的Eric Sears以及谷歌和Linux内核社区的文件系统开发人员Ted T’so。
Linux基金会的执行董事Jim Zemlin表示:“所有软件开发都需要软件和资金。开源软件也不例外,并且开源软件需要一定水平的支持,以支持现在的全球信息基础设施。”他补充说,CII的目标是从危机驱动的响应转变为可测量的积极地识别和自助项目,而CII就是可以实现这些目标的一个组织。(邹铮编译)
