La Iniciativa de Infraestructura Central ( CII ) es un proyecto de la Fundación Linux para financiar y apoyar proyectos de software gratuitos y de código abierto que son fundamentales para el funcionamiento de Internet y otros sistemas de información importantes. El proyecto se anunció el 24 de abril de 2014 a raíz de Heartbleed , un error de seguridad crítico en OpenSSL que se utiliza en millones de sitios web.
Iniciativa de infraestructura básica | |
---|---|
Estado de la misión | "Para financiar proyectos de código abierto que se encuentran en el camino crítico para las funciones informáticas centrales". |
¿Comercial? | No |
Fundador | Jim Zemlin |
Establecido | 24 de abril de 2014 [1] |
Fondos | Por donaciones |
Sitio web | www |
OpenSSL se encuentra entre los primeros proyectos de software financiados por la iniciativa después de que se consideró que no tenía suficientes fondos, recibiendo solo alrededor de $ 2,000 por año en donaciones. [1] La iniciativa patrocinará a dos desarrolladores centrales de OpenSSL a tiempo completo. [2] En septiembre de 2014, la Iniciativa ofreció asistencia a Chet Ramey, el mantenedor de bash , después de que se descubrió la vulnerabilidad Shellshock . [3]
Error de Heartbleed
OpenSSL es una implementación de código abierto de Transport Layer Security (TLS), que permite que cualquiera pueda inspeccionar su código fuente. [4] Por ejemplo, es utilizado por teléfonos inteligentes que ejecutan el sistema operativo Android y algunos enrutadores Wi-Fi , y por organizaciones como Amazon.com , Facebook , Netflix , Yahoo! , la Oficina Federal de Investigaciones de los Estados Unidos de América y la Agencia Tributaria de Canadá . [5]
El 7 de abril de 2014, el error Heartbleed de OpenSSL se dio a conocer y se corrigió públicamente. [6] La vulnerabilidad, que se había enviado en la versión actual de OpenSSL durante más de dos años, [7] hizo posible que los piratas informáticos recuperaran información como nombres de usuario , contraseñas y números de tarjetas de crédito de transacciones supuestamente seguras. En ese momento, se creía que aproximadamente el 17% (alrededor de medio millón) de los servidores web seguros de Internet certificados por autoridades confiables eran vulnerables al ataque. [8]
Software de código abierto
Según la ley de Linus , del libro de Raymond La catedral y el bazar , "Con suficientes ojos, todos los errores son superficiales". [9] En otras palabras, si hay suficientes personas trabajando en el software, el problema se encontrará rápidamente y su solución será obvia para alguien. Raymond declaró en una entrevista que "no había ojos" para el error Heartbleed. [5]
Antes de la financiación de CII, solo una persona, Stephen Henson, trabajaba a tiempo completo en OpenSSL; Henson aprobó más de la mitad de las actualizaciones de más de 450.000 líneas del código fuente de OpenSSL. [10] Además de Henson, hay tres programadores voluntarios principales. El Proyecto OpenSSL existía con un presupuesto de $ 2,000 por año en donaciones, que era suficiente para cubrir la factura de electricidad, y Steve Henson ganaba alrededor de $ 20,000 por año. [7] Para obtener más ingresos para el proyecto, Steve Marquess, consultor del Departamento de Defensa, creó la OpenSSL Software Foundation. Esto permitió a los programadores ganar algo de dinero consultando a organizaciones que usaban el código. Sin embargo, la fundación generó menos de $ 1 millón por año, [5] y el trabajo por contrato tendió a enfocarse en agregar nuevas características en lugar de mantener las antiguas. [7]
Otros proyectos de software de código abierto tienen dificultades similares. Por ejemplo, los responsables de OpenBSD , un sistema operativo consciente de la seguridad, casi tuvieron que cerrar el proyecto a principios de 2014 porque no podía pagar las facturas de electricidad. [11]
La iniciativa
Jim Zemlin, el director ejecutivo de la Fundación Linux, concibió la idea de la Iniciativa de Infraestructura Central poco después de que se anunciara Heartbleed, y pasó la noche del 23 de abril llamando a las empresas en busca de apoyo. [12] Trece empresas respondieron y se unieron a la iniciativa: Amazon Web Services , Cisco Systems , Dell , Facebook , Fujitsu , Google , IBM , Intel , Microsoft , NetApp , Rackspace , Qualcomm y VMware . [13] [14] La lista fue determinada principalmente por a quién conocía Zemlin. [12] Cada una de las trece empresas se ha comprometido a donar $ 100.000 al año durante los próximos tres años, lo que eleva el fondo de financiación inicial a casi $ 4 millones. [15] [16] [17] Un adicional de cinco empresas de Adobe Systems , Bloomberg LP , Hewlett-Packard , Huawei , y Salesforce.com -desde entonces han unido a la iniciativa. [18]
El dinero que las agrupaciones de CII se utilizará para financiar tareas específicas, como proporcionar una compensación a los desarrolladores para que trabajen a tiempo completo en un proyecto de software de código abierto, realizar revisiones y auditorías de seguridad , implementar infraestructura de prueba y facilitar viajes y presenciales. reuniones presenciales entre desarrolladores. [2]
La CII estará compuesta por dos órganos, un comité directivo y un consejo asesor. El comité directivo estará compuesto por representantes de las empresas miembro y otras partes interesadas de la industria [2] [15] y el comité estará a cargo de identificar los proyectos de software objetivo y aprobar la financiación específica para esos proyectos. El consejo asesor, compuesto por desarrolladores y otras partes interesadas, brindará asesoramiento al comité directivo. [2]
Proyectos respaldados en 2016
Nombre del proyecto | Tipo | Financiamiento (USD) | sitio web |
---|---|---|---|
Frama-C | Herramienta de desarrollo | 192.000 | [1] |
GnuPG | Aplicación o herramienta del sistema | 60.000 | [2] |
Daemon de protocolo de tiempo de red | Aplicación o herramienta del sistema | 180.000 | |
OpenSSH | Aplicación o herramienta del sistema | 50.000 | [3] |
OpenSSL | Biblioteca para desarrolladores | 550 000 | [4] |
Proxy de ataque OWASP Zed | Herramienta o proyecto de prueba | 23.000 | [5] |
Construcciones reproducibles | Herramienta o proyecto de prueba | 250.000 | [6] |
El proyecto Fuzzing | Herramienta o proyecto de prueba | 60.000 | [7] |
El proyecto de autoprotección del kernel de Linux | Aplicación o herramienta del sistema | 80.000 | [8] |
NTPsec | Aplicación o herramienta del sistema | 150.000 | [9] |
Castillo inflable | Biblioteca para desarrolladores | 15.000 | [10] |
La Iniciativa de Infraestructura Central también invirtió 120.000 USD en educación sobre buenas prácticas de desarrollo de código abierto, 120.000 USD en análisis de proyectos de código abierto populares y 95.000 USD en auditoría de OpenSSL [19]
Referencias
- ^ a b "Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware y la Fundación Linux forman una nueva iniciativa para respaldar proyectos críticos de código abierto" (Comunicado de prensa). La Fundación Linux. 24 de abril de 2014. Archivado desde el original el 10 de junio de 2016 . Consultado el 25 de julio de 2016 .
- ^ a b c d "Preguntas frecuentes sobre la iniciativa de infraestructura básica" . La Fundación Linux. Archivado desde el original el 14 de abril de 2016 . Consultado el 25 de julio de 2016 .
- ^ "Los expertos en seguridad esperan que el error del software 'Shellshock' sea significativo" . Los tiempos de la India . Archivado desde el original el 29 de septiembre de 2014 . Consultado el 29 de septiembre de 2014 .
- ^ Sullivan, Gail (9 de abril de 2014). "Heartbleed: Lo que debes saber" . The Washington Post . Archivado desde el original el 9 de mayo de 2014 . Consultado el 14 de mayo de 2014 .
- ^ a b c Perlroth, Nicole (18 de abril de 2014). "Heartbleed destaca una contradicción en la Web" . The New York Times . Archivado desde el original el 8 de mayo de 2014 . Consultado el 14 de mayo de 2014 .
- ^ Grubb, Ben (15 de abril de 2014). "Cronología de divulgación de Heartbleed: quién sabía qué y cuándo" . El Sydney Morning Herald . Archivado desde el original el 25 de noviembre de 2014 . Consultado el 14 de mayo de 2014 .
- ^ a b c Stokel-Walker, Chris (25 de abril de 2014). "Internet está siendo protegido por dos chicos llamados Steve" . BuzzFeed . Archivado desde el original el 15 de mayo de 2014 . Consultado el 15 de mayo de 2014 .
- ^ Mutton, Paul (8 de abril de 2014). "Medio millón de sitios web ampliamente confiables vulnerables al error Heartbleed" . Netcraft Ltd. Archivado desde el original, el 19 de noviembre 2014 . Consultado el 22 de mayo de 2014 .
- ^ Young, Eric S. Raymond; con un prólogo de Bob (2008). La catedral y el bazar reflexiones sobre Linux y código abierto por un revolucionario accidental (2ª ed.). Sebastopol: O'Reilly Media, Inc. pág. 30. ISBN 978-0596553968.
- ^ Babbage (6 de mayo de 2014). "Un latido del corazón del desastre" . The Economist . Archivado desde el original el 15 de mayo de 2014 . Consultado el 15 de mayo de 2014 .
- ^ Finley, Klint (22 de enero de 2014). "Bitcoin Baron mantiene vivo un secreto sistema operativo de código abierto" . Cableado . Archivado desde el original el 11 de mayo de 2014 . Consultado el 15 de mayo de 2014 .
- ^ a b Rosenblatt, Seth (24 de abril de 2014). "Los titanes de la tecnología unen fuerzas para detener el próximo Heartbleed" . CNET . Archivado desde el original el 17 de mayo de 2014 . Consultado el 15 de mayo de 2014 .
- ^ "Iniciativa de infraestructura básica" . La Fundación Linux. Archivado desde el original el 10 de septiembre de 2016 . Consultado el 25 de julio de 2016 .
- ^ Finley, Klint (24 de abril de 2014). "Twitter Facebook RSS Google, Facebook y Microsoft se unen para detener otra hemorragia" . Cableado . Archivado desde el original el 14 de mayo de 2014 . Consultado el 15 de mayo de 2014 .
- ^ a b Perlroth, Nicole (24 de abril de 2014). "Las empresas respaldan la iniciativa para apoyar OpenSSL y otros proyectos de código abierto" . Bits . Los New York Times. Archivado desde el original el 30 de abril de 2014 . Consultado el 29 de abril de 2014 .
- ^ Vaughan-Nichols, Steven J. (24 de abril de 2014). "Cisco, Microsoft, VMware y otros gigantes tecnológicos se unen detrás de proyectos críticos de código abierto" . ZDNet . Archivado desde el original el 27 de abril de 2014 . Consultado el 29 de abril de 2014 .
- ^ Warren, Christina (24 de abril de 2014). "Facebook, Google, Microsoft unen fuerzas para prevenir otra hemorragia" . Mashable . Archivado desde el original el 29 de abril de 2014 . Consultado el 29 de abril de 2014 .
- ^ "La iniciativa de infraestructura central de la Fundación Linux anuncia nuevos patrocinadores, primeros proyectos en recibir apoyo y miembros de la junta asesora" (comunicado de prensa). La Fundación Linux. 29 de mayo de 2014. Archivado desde el original el 11 de julio de 2017 . Consultado el 23 de junio de 2014 .
- ^ "Informe anual de 2016 de la Iniciativa de infraestructura central" (PDF) . La Iniciativa de Infraestructura Central. Archivado desde el original el 6 de noviembre de 2017 . Consultado el 14 de abril de 2017 .
enlaces externos
- Página web oficial
- Construcciones reproducibles