Linux Foundation finanziert OpenSSL-Entwickler
Die Core Infrastructure Initiative der Linux Foundation bezahlt zwei Entwicklerstellen für das OpenSSL-Projekt. Auch einige weitere Open-Source-Projekte erhalten Geld.
Der Heartbleed-Exploit in OpenSSL war nicht nur eine Katastrophe für die sichere Kommunikation im Internet. Der "SSL-GAU" machte auch deutlich, dass die Entwicklung selbst von essenziell wichtiger Open-Source-Software wie der OpenSSL-Bibliothek auf tönernen Füßen steht. Nach Bekanntwerden der Lücke bat das OpenSSL-Projekt um Unterstützung – und machte darauf aufmerksam, dass die Entwicklung von OpenSSL im Wesentlichen durch einen einzigen, bei der OpenSSL Foundation angestellten Mitarbeiter erfolgt.
Als Reaktion auf das Heartbleed-Drama gründete die Linux Foundation zusammen mit mehreren großen IT-Firmen die Core Infrastructure Initiative. Hier stellen Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware Geld für OpenSSL und andere wichtige Open-Source-Projekte zur Verfügung.
Als erste Maßnahme finanziert die Initiative zwei Entwicklerstellen für das OpenSSL-Projekt. Geld gibt es zudem für die Weiterentwicklung des Network Time Protocol, für OpenSSH und für ein Security Audit von OpenSSL. Letzteres soll das Open Crypto Audit Project (OCAP) organisieren, das durch die Untersuchung von TrueCrypt bekannt geworden ist.
Daneben meldet die Core Infrastructure Initiative neue Mitglieder: Adobe, Bloomberg, HP, Huawei und Salesforce.com sind der CII beigetreten. Auch das Advisory Board, das Projekte identifizieren soll, die Unterstützung benötigen, ist jetzt besetzt. Zu den Mitgliedern gehören die Linux-Kernel-Entwickler Alan Cox und Ted T'so, der Sicherheitsexperte Bruce Schneier und Eben Moglen vom Software Freedom Law Center. (odi)