Хочешь денег — добавь в свободный проект критическую уязвимость

Организация The Linux Foundation объявила о запуске проекта Core Infrastructure Initiative (CII) в качестве ответной меры на кризис, вызванный уязвимостью Heartbleed в OpenSSL. С помощью спонсоров из числа богатых корпораций The Linux Foundation обещает вложить «миллионы долларов» в разработку ключевых проектов Open Source и аудит их безопасности.

На первом этапе материальную помощь пообещали 13 компаний и сервисов: Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, RackSpace и VMware. Позже появятся другие. Технологические компании будут совместно обсуждать и решать, какие проекты СПО нуждаются в поддержке — и оплачивать труд программистов.

Первым проектом, который получит финансирование, станет OpenSSL, тем более что его разработчики недавно обращались к сообществу за помощью. Денег на оплату труда профессионалов категорически не хватает. Например, в последние годы проект жил на пожертвования около $2000 в год.

Добровольцы вроде доктора Робина Зеггельманна не справляются с исправлением всех багов, а иногда добавляют новые. Именно д-р Зеггельманн закоммитил патч со случайной ошибкой 1 января 2012 года (возможно, во время празднования нового года), позже этот баг получил название Heartbleed.

Ключевые разработчики OpenSSL получат финансовые и все другие ресурсы, необходимые для работы, а именно, для улучшения безопасности, привлечения сторонних аудиторов и ускорения обработки патчей.

Хотя проект CII запущен как ответная мера на Heartbleed, но аналогичную поддержку получат и другие проекты, которым не хватает средств на разработку, причем поддержка CII не ограничивается только вопросами безопасности. Это будет большое денежное вливание во все движение свободного ПО.

The Linux Foundation подчеркивает, что свободное ПО превосходит проприетарный софт по качеству кода и безопасности. Это показывают независимые исследования, в том числе последнее исследование Coverity Open Scan. Проблема в возросшей сложности ПО в последние годы, поддержке возрастающего количества платформ. Нужны дополнительные ресурсы для развития.