OpenSSL Heartbleed漏洞彰顯出開放源碼開發者的辛酸及軟體產業的一項荒謬:人人都在用的OpenSSL卻從來沒有人為它付錢。這個網路史上最嚴重的安全漏洞一方面讓全世界一次付出所有該付的代價,另一方面也給科技業者當頭棒喝,並決定成立CII來贊助相關的計畫,而現在CII也終於敲定要為OpenSSL找到專屬的負責開發人員。
由Google、思科、微軟及IBM等13家科技大廠創立、旨在改善開放源碼安全的核心基礎架構計畫(Core Infrastructure Initiative, CII)宣布多家新的支持者,並發表首波贊助專案,把出現Heartbleed漏洞的OpenSSL列為優先專案之一,並將贊助兩名全職的OpenSSL開發人員,以及建立稽核OpenSSL程式的特別專案。
CII是HeartBleed風爆下的產物,並由Linux基金會(Linux Foundation)代為管理。原本的13家創始成員包含Amazon Web Services、Cisco、Dell、Facebook、富士通、Google、IBM、Intel、微軟、NetApp、RackSpace、Qualcomm及VMware,新增的成員則有Adobe、Bloomberg、HP、華為與salesforce.com,這些業者承諾透過金援來改善全球的開放源碼專案。
Linux基金會執行總監Jim Zemlin表示,所有的軟體開發都需要支持與資金,開放源碼軟體也不例外,業者對開放源碼的支持應該等同於開放源碼在今日全球架構上的重要性,CII的目標是讓業者從被動轉為主動,並贊助各種必要的專案。
在經過第一階段的審核後,CII列出了首波所要贊助的3項開放源碼專案,分別是Network Time協定、OpenSSH與OpenSSL,其中,與OpenSSL有關的除了CII將贊助兩名全職的核心開發人員之外,也會有一開放密碼稽核專案(Open Crypto Audit Project,OCAP),將針對OpenSSL程式碼進行安全稽核。
CII亦設立了諮詢委員會來遴選所要贊助的專案,目前有7名成員,包括資深的Linux核心開發人員Alan Cox、研究電腦安全及密碼的電腦科學教授Matthew Green,以及專研全球資訊政策的Dan Meredith等。(編譯/陳曉莉)
熱門新聞
2024-12-24
2024-12-22
2024-12-20
2024-11-29
2024-08-14