科技巨头的资助只是确保关键开源项目安全的一个开始

科技巨头的资助只是确保关键开源项目安全的一个开始

安全专家说,各大科技公司对支持关键开源项目的资金承诺只是防止另一个行业破坏OpenSSL Heartbleed bug的第一步。

专家告诉CSOonline,周四宣布的“核心基础设施计划”(Core Infrastructure Initiative)预计将投入数百万美元,需要用于建立安全开发和质量保证的流程。如果每个项目都没有一个有效的组织,缺陷将继续被忽视。

[如何防御OpenSSL Heartbleed漏洞]

以OpenSSL项目为例,它只有一名全职员工,每年只收到2000美元的捐款。这笔微薄的资金导致了这只虫子两年未被发现。

北卡罗莱纳州立大学负责信息技术的副校长马克·霍伊特说,成功的开源项目,如Apache Web服务器或Linux操作系统背后的项目,都有一个负责安全开发的领导小组。

霍伊特说:“所有开源或基于社区的项目,或者实际上是(商业)项目,不仅需要资金,还需要一位支持者来引导他们前进。”。

CII背后的名单令人印象深刻。它包括Amazon Web Services、Cisco、Dell、Facebook、Fujitsu、Google、IBM、Intel、Microsoft、NetApp、Rackspace、VMware和Linux基金会。

然而,将投入该倡议的资金数额没有公布,也没有宣布如何组织这项工作。Ars Technica报告说,该集团承诺至少提供三年的承诺和390万美元的资金。

除了资金,科技公司还必须从自己的员工中捐赠专家,以帮助推动开发工作,并创建测试和维护程序。

SANS研究所的高级讲师paulhenry说,拥有这种商业支持的开源项目蓬勃发展。

他指出:“此外,美国政府为许多开源项目提供了大量资金。”。

开源软件已经演变成商业产品的例子包括Snort,这是一个网络入侵防御系统,现在由思科旗下的Sourefire开发。

ForgeRock已经围绕一个开源的身份管理栈建立了一个业务。首席执行官迈克•埃利斯(mikeellis)表示,为企业开发开源软件需要一个“正式的产品开发结构,以适当地强化和安全”

他说:“这涉及到建筑师、开发商、质量保证、维护工程师等等。”需要认真致力于建立项目结构,并将其从一种爱好转变为商业级产品。”

Qualys的首席技术官Wolfgang Kandek说,除了为更安全的开发工作提供资金外,CII的资金还可以用于漏洞赏金计划。

他说:“我认为漏洞奖金是一个很好的机制,可以让人才对积极的计算机安全感兴趣。”。

OpenSSL的缺陷是非常关键的,因为它损害了使用该技术保护Web服务器、pc和移动设备之间通信的各种硬件和软件。所有受影响的技术都必须进行修补或离线,以避免潜在的漏洞。

[HealthCare.gov 催促因心碎而重置密码]

咨询公司Bishop Fox的高级安全分析师约瑟夫•德梅西(Joseph DeMesy)表示,鉴于OpenSSL漏洞造成的损害,在漏洞被发现之前,业界没有理由缺乏支持。

德梅西说:“工业界如此严重地依赖这些项目,却没有在财政或其他方面给予足够的支持,这是鲁莽的行为。”。