Nach der verheerenden Heartbleed-Sicherheitslücke haben sich große Technikunternehmen wie Google, Facebook und Microsoft mit der Linux Foundation zusammengeschlossen um eines der größten Probleme von Open-Source-Software zu beseitigen: Ressourcenmangel.
Wie konnte der Heartbleed-Bug bloß passieren und zwei Drittel des Internet in große Gefahr bringen? Das Problem war allerdings nicht, wie schnell und oft behauptet, dass die OpenSSL-Software Open Source ist. Quelloffene Software ist nicht, wie oft vermutet wird, automatisch unsicherer oder schlechter als kommerzielle Software – das Gegenteil ist sogar oftmals der Fall. Das Problem ist vielmehr der Mangel an Ressourcen, sowohl personell als auch finanziell, bei vielen Projekten und genau dies hat auch bei OpenSSL zum Heartbleed-Bug geführt.
Was kann unternommen werden, damit so etwas nicht wieder geschieht? Die Antwort auf diese Frage scheint einfach: Die großen Unternehmen, die kritische Open-Source-Software wie OpenSSL einsetzen und davon profitieren, sollten etwas an diese Projekte zurückgeben. Doch bisher war dies aus unerfindlichen Gründen nicht, oder nur sehr selten der Fall, so dass im Falle Heartbleed für OpenSSL nur ein Entwickler Vollzeit an dem Projekt arbeitete – eine Software wohlgemerkt, die auf zwei Drittel aller Webserver eingesetzt wird.
Doch tatsächlich scheint Heartbleed so etwas wie ein Warnschuss gewesen zu sein, denn die Linux Foundation hat nun die “Core Infrastructure Initiative” ins Leben gerufen. Diese Initiative soll kritische Open-Source-Projekte wie eben OpenSSL finanziell unterstützen, so dass diese Entwickler Vollzeit beschäftigen und somit die Sicherheit der Software verbessern können.
Der Initiative können sich alle Technikunternehmen anschließen – sie verpflichten sich dadurch, über die nächsten drei Jahre mindestens 100.000 US-Dollar pro Jahr beizusteuern. Von Beginn an sind bereits 12 große Unternehmen an Bord, darunter Google, Facebook, Intel und Microsoft – somit stehen also über die nächsten drei Jahre bereits mindestens 3,6 Millionen US-Dollar zur Verfügung. Die Summe kann sich natürlich noch deutlich erhöhen wenn mehr Unternehmen sich beteiligen, oder sie beschließen mehr beizusteuern. Auch als Privatperson kann man auf der Seite der Initiave übrigens Spenden beisteuern.
Die Core Infrastructure Initiative verwaltet und verteilt dabei das Geld an die Open-Source-Projekte, die sich angemeldet haben. Aufgrund von Heartbleed ist OpenSSL natürlich ganz oben auf der Liste der zu unterstützenden Projekte, aber es ist nicht das einzige – ModSSL, PGP and OpenCryptolab sind ebenfalls im Gespräch. Es ist sehr zu hoffen, dass die frisch aus der Taufe gehobene Initiative regen Zuspruch aus der Branche erfährt und wir in Zukunft vor derart massiven Sicherheitslücken sicher sind.
Quelle: Core Infrastructure Initiative (via Ars Technica)