Gemeinschaft::Organisationen
Mozilla gründet SOS-Fonds für Open Source
Heartbleed und Shellshock haben zwar allgemein das Bewusstsein für die Verwundbarkeit von Software geschärft, das reicht aber nach Ansicht der Mozilla Foundation bei Weitem nicht aus. Deshalb legt Mozilla einen SOS-Fonds für Open-Source-Software auf.
Mozilla
Die Sicherheitslücken, die es in der Vergangenheit bis in die Tagespresse geschafft haben, machten auch klar, dass das Rückgrat des Internet von Software abhängt, deren Entwickler kaum finanzielle Unterstützung erfuhren und sich somit nicht adäquat um ihre Software kümmern konnten. Andererseits verlassen sich eine Vielzahl an Unternehmen auf die Funktionalität und Sicherheit dieser Software, ohne sich finanziell zu engagieren.
Eine Konsequenz aus dieser Situation war die Gründung der Core Infrastructure Initiative durch die Linux Foundation. Diese stellt einen Fonds von einigen Millionen US-Dollar bereit, der Projekte unterstützt, die für das ganze Internet oder ganze Branchen kritisch sind und dringend Geld benötigen.
Laut einer von Mozilla 2015 initiierten Studie (PDF) gibt es außerhalb der von der Core Infrastructure Initiative betreuten kritischen Projekte noch viel zu tun, um Open-Source-Software und deren Anwender besser zu schützen. Zu diesem Zweck legt die Mozilla Foundation nun den SOS-Fonds auf und stattet ihn mit anfänglichen 500.000 US-Dollar aus.
Mit dem Geld sollen erste Sicherheitsaudits und nötige Verbesserungen von wichtigen Open-Source-Bibliotheken und -Programmen finanziert werden. Der Fonds ist Teil des Mozilla Open Source Support Program (MOSS). Die Mozilla Foundation hofft, dass dies nur ein Anfang ist und fordert die Nutznießer von Open-Source-Software - im Besonderen Regierungen und große Unternehmen - auf, sich finanziell zu beteiligen und mitzuhelfen, das Internet abzusichern.
Mozilla will dabei in drei Schritten mit Open-Source-Projekten zusammenarbeiten. Im ersten Schritt sollen Sicherheitsunternehmen beauftragt werden, den Code eines Projekts einem Sicherheitsaudit zu unterziehen. Dann soll das Projekt unterstützt werden, eventuell gefundene Sicherheitsprobleme zu beheben und schließlich in einem dritten Schritt bezahlt Mozilla die nachträgliche Überprüfung, ob die Lücken geschlossen werden konnten.
Drei Projekte haben diesen Prozess bereits erfolgreich durchlaufen, wobei 43 Fehler entdeckt wurden, von denen zumindest einer als kritische Lücke klassifiziert wurde. Für interessierte Entwickler hat Mozilla eine Webseite zur Anmeldung bereitgestellt.
){kind=small}
