Max Home IndustryВ рамках программы поддержки Mozilla с открытым исходным кодом (MOSS) Mozilla Foundation создала фонд, предназначенный для оказания помощи проектам программного обеспечения с открытым исходным кодом в устранении уязвимостей кода.
Недавно созданному Фонду Secure Open Source (SOS) было выделено первоначальное финансирование в размере 500 000 долларов США для покрытия расходов на аудит некоторых широко используемых библиотек и программ с открытым исходным кодом.
В своем объявлении, приглашая проекты с открытым исходным кодом подать заявку на эту поддержку, Крис Райли, глава отдела государственной политики Mozilla, объяснил, каким образом фонд SOS был предназначен для обеспечения аудита безопасности, исправления и проверки ключевых проектов программного обеспечения с открытым исходным кодом после серьезных ошибок безопасности, таких как Heartbleed и Shellshock.
Райли отметил важность этой инициативы:
Программное обеспечение с открытым исходным кодом используется миллионами предприятий и тысячами образовательных и государственных учреждений для критически важных приложений и услуг. От Google и Microsoft до Организации Объединенных Наций открытый исходный код теперь плотно вплетен в ткань программного обеспечения, которое управляет миром. Действительно, большая часть Интернета, включая сетевую инфраструктуру, которая его поддерживает, работает с использованием технологий с открытым исходным кодом. По мере того как Интернет переходит от подключаемых браузеров к подключаемым устройствам (автомобилям и медицинскому оборудованию), безопасность программного обеспечения становится вопросом жизни и смерти.
Райли также рассказал о том, как будет работать SOS:
Mozilla будет заключать контракты с профессиональными охранными фирмами и платить им за аудит кода других проектов
Mozilla будет работать с сопровождающими проекта для поддержки и внедрения исправлений, а также для управления раскрытием информации
Mozilla оплатит работу по исправлению, которая будет проверена, чтобы убедиться, что все выявленные ошибки были исправлены
На сегодняшний день три проекта с открытым исходным кодом — PCRE2, библиотека C для реализации регулярных выражений, совместимых с Perl; libjpeg-turbo и phpMyAdmin-прошли аудит, проведенный Cure53 и NCC Group. В результате было обнаружено и устранено 43 уязвимости (в том числе одна, признанная критической).
Помимо поощрения проектов с открытым исходным кодом к аудиту, Райли также пригласил спонсоров выступить, заявив, что:
«Мы хотим, чтобы многочисленные компании и правительства, использующие открытый исходный код, присоединились к нам и оказали дополнительную финансовую поддержку.”