Nach Heartbleed: IT-Riesen investieren (ein bisschen) in Open-Source-Security

24. April 2014, 10:10
  • open source
  • security
image

Heartbleed hat auch positive Folgen.

Heartbleed hat auch positive Folgen.
Die Heartbleed-Krise hat unter anderem eine Tatsache ins Schlaglicht gerückt, die den meisten IT-affinen Menschen zwar vielleicht bekannt, aber den wenigsten wirklich bewusst war: Im Herzen der globalen Internet-Infrastruktur steckt viel Open-Source-Software. Einige davon, wie der Linux-Kern, stammt aus Projekten, die von Grossunternehmen mit Geld und Personalressourcen unterstützt werden. Es gibt aber auch vielverwendete Softwarestücke wie das vom Heartbleed-Bug betroffene OpenSSL, die von ganz wenigen Entwicklern sozusagen ohne Bezahlung im Nebenjob entwickelt und betreut werden. Dies macht es logisch, dass diese Software oft nicht intensiv auf ihre Sicherheit abgeklopft und getestet werden kann. Trotzdem verwenden auch IT-Riesen oft und gerne solche Gratis-Schnäppchen in ihren Produkten, und sparen sich so Investitionen in eigene Entwicklungen.
Nun scheint der Heartbleed-Bug zu einem gewissen Umdenken geführt zu haben. Wie die Linux-Foundation heute bekannt gab, hat sich eine ganze Reihe Zahl von grossen IT-Unternehmen bereit erklärt, sich der "Core Infrastructure Initiative" anzuschliessen. Diese soll ausgewählten Open-Source-Projekten Gelder zur Verfügung stellen, um insbesondere deren Sicherheit zu verbessern. Zu den Gründungsmitgliedern gehören neben der Linux Foundation selbst unter anderem Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware.
100'000 Dollar pro Firma
Wie Jim Zemlin, der leitende Direktor der Linux Foundation, gegenüber 'Ars Technica' erklärte, haben sich diese Firmen dazu bereit erklärt, mindestens drei Jahre lang je 100'000 Dollar pro Jahr für die Initiative zu spenden. Insgesamt sind also bisher 3,6 Millionen Dollar zugesichert. Die Foundation hofft, dass sich noch viele weitere Unternehmen und auch andere Geldgeber anschliessen.
Angesichts der an der Initiative beteiligten Unternehmen tönen 3,6 Millionen Dollar, ähm, nun sagen wir mal nicht gerade überwältigend. Für viele Open-Source-Projekte könnte dies aber eine für ihre Verhältnisse immense zusätzliche Unterstützung bedeuten. Am OpenSSL-Projekt waren beispielsweise bisher nur vier Entwickler regelmässig beteiligt. Nur einer davon arbeitete Vollzeit. Die OpenSSL Software Foundation (OSF) erhielt pro Jahr rund 2000 Dollar an Spenden. Den Rest ihres Umsatzes von unter einer Million Dollar pro Jahr erzielte die OSF, indem sie ihre Entwickler für Consultingarbeiten im Zusammenhang mit OpenSSL auslieh.
Zuerst OpenSSL, dann auch andere
OpenSSL soll nun das erste Projekt sein, das Gelder aus der Core Infrastructure Initiative erhält, später werden aber auch andere folgen. Die berücksichtigten Projekte werden von einem Steuerungskomitee ausgewählt, dem Vertreter der Linux-Foundation sowie der beteiligten Unterstützer angehören.
Das von der Initiative zur Verfügung gestellte Geld soll es Open-Source-Projekten unter anderem ermöglichen, mehr Vollzeitentwickler anzustellen und im Notfall, zum Beispiel wenn ein Security-Patch erstellt werden muss, auch schnell zusätzliche Ressourcen aufbieten zu können. Des weiteren sollen externe Security-Reviews, persönliche Meetings unter den Projektmitarbeitenden und vieles mehr gefördert werden. Obwohl das Geld zum grössten Teil von IT-Riesen stammt, sollen die berücksichtigten Projekte, so versichert die Linux Foundation, ihre volle Unabhängigkeit bewahren können. (hjm)

Loading

Mehr zum Thema

image

Globale Ransomware-Angriffswelle zielt auf VMware-Systeme

Tausende Server mit der Virtualisierungslösung ESXi sollen betroffen sein. Die ausgenutzte Schwachstelle ist seit langem bekannt.

publiziert am 6.2.2023
image

Swisscom ändert Herausgabepraxis bei E-Mails

Wenn Staatsanwälte von Swisscom die Herausgabe von E-Mails verlangen, sollen Betroffene sich besser wehren können.

publiziert am 6.2.2023
image

Exchange-Lücken: NCSC ist gefrustet

Trotz eingeschriebener Warnbriefe sind in der Schweiz immer noch 660 Server ungepatcht. Manchmal wurde die Annahme des Briefes auch verweigert.

publiziert am 6.2.2023
image

Atlassian patcht kritische Jira-Lücke

Die Schwachstelle mit einem Score von 9.4 ermöglicht es Angreifern, sich als andere Benutzer auszugeben und Zugriff auf eine Jira-Service-Management-Instanz zu erhalten.

publiziert am 6.2.2023