Gemeinschaft::Organisationen
Core Infrastructure Initiative der Linux Foundation startet
Im April hatte die Linux Foundation die »Core Infrastructure Initiative« angekündigt, die die Entwicklung und Wartung von kritischen freien Projekten fördert, von denen das ganze Internet abhängt. Zwei der ersten Maßnahmen werden Unterstützung für OpenSSL und ein Sicherheits-Audit sein.
Linux Foundation
Der
kritische Heartbleed-Fehler in OpenSSL hat die Anwender weltweit wachgerüttelt. Nicht nur Endanwender, sondern ganze Industriezweige hängen entscheidend von der Sicherheit dieser Bibliothek ab, das wurde als Konsequenz des zwei Jahre lang nicht erkannten Fehlers klar, und Reaktionen ließen nicht lange auf sich warten. Zahlreiche Personen und Organisationen haben sich den Quellcode von OpenSSL angesehen,
Unterstützung zugesichert oder Alternativen betrachtet.
Die Linux Foundation, ein Industriekonsortium zur Förderung des Einsatzes von Linux und freier Software und zur Zusammenarbeit an offenen Projekten, zog ebenfalls Konsequenzen und gründete die Core Infrastructure Initiative, die mit einem Fonds aus Spendengeldern in Millionenhöhe ausgestattet ist. Sie wird von Firmen wie Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware finanziert. Inzwischen sind die Unternehmen Adobe, Bloomberg, HP, Huawei und salesforce.com hinzugekommen.
Die Core Infrastructure Initiative soll Projekte unterstützen, die für das ganze Internet oder ganze Industriezweige kritisch sind und dringend Geld benötigen. Die jetzt bekanntgegebenen ersten Projekte sind OpenSSL, OpenSSH und NTP.
OpenSSL, das nach Angaben eines Entwicklers nur von wenigen Personen überwiegend in ihrer Freizeit betreut wird, aber durchaus ein halbes Dutzend Vollzeitentwickler gebrauchen könnte, wird demnach zwei zusätzliche Entwickler erhalten. Die OpenSSL-Stiftung kann weiterhin durch Spenden direkt unterstützt werden.
Darüber hinaus unterstützt die Core Infrastructure Initiative das Open Crypto Audit Project (OCAP), das einen Sicherheits-Audit von OpenSSL durchführen wird. Weitere Projekte, die sofortige Unterstützung erhalten, sind OpenSSH und NTP, das Network Time Protocol. Die Initiative prüft nach eigenen Angaben zur Zeit weitere Projekte. Ob der von OpenBSD gestartete Fork von OpenSSL, LibreSSL, dazu gehört, ist noch offen.
Die Core Infrastructure Initiative will keinen Einfluss auf die Entwicklungsrichtung der Projekte nehmen, sondern lediglich ihre Entwicklung, Tests, Sicherheits-Audits und Wartung beschleunigen. Effektiv wird damit die Unterstützung, die die Linux Foundation für den Linux-Kernel leistet, auf andere Projekte ausgedehnt. Die Projekte werden vom Beirat der Initiative vorgeschlagen, der aus sieben überwiegend gut bekannten Personen besteht. Der zurückgekehrte Alan Cox ist einer der erfahrensten Kernel-Entwickler. Professor Matthew Green hat das Open Crypto Audit-Projekt mitgegründet. Dan Meredith ist ein Leiter des »Open Technology Fund« bei Radio Free Asia und Aktivist für Menschenrechte, Transparenz und Informationssicherheit. Professor Eben Moglen ist Vorsitzender des Software Freedom Law Center. Er gilt als bedeutender Experte für Rechtsfragen bei freier Software. Bruce Schneier ist einer der renommiertesten Sicherheitsexperten weltweit. Eric Sears entwickelt Programme zum Thema Menschenrechte bei der MacArthur Foundation. Ted T'so schließlich ist ein Fellow der Linux Foundation und gilt neben Alan Cox als der erfahrenste Kernel-Entwickler.
){kind=logo}
