Google, Facebook et Microsoft soutiennent la Fondation Linux afin de nous prémunir contre le prochain Heartbleed

Open Source

Passée inaperçue pendant plus de deux ans, la faille du protocole OpenSSL découverte récemment a mis en péril la confidentialité des renseignements personnels de millions d’internautes.

Bien que la plupart des services Internet ont corrigé ce sérieux problème de sécurité imposé par Heartbleed, une question demeure : comment éviter que cela se produise à nouveau?

Au cœur du problème se trouve le fait qu’OpenSSL est géré par une équipe de seulement quatre développeurs, dont un seul d’entre eux y travaille à temps plein. Conséquence? L’équipe n’a pas le temps de pleinement tester ses mises à jour et de perfectionner le code pour répondre aux nouveaux besoins des internautes.

Parmi les membres du Core Infrastructure Initiative, on retrouve Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, Qualcomm et VMWare.

Alors que des initiatives au code source ouvert comme Linux, Apache et Firefox sont parrainées par d’importantes entreprises, d’autres initiatives tout aussi cruciales (dont OpenSSL) sont sous-financées.

Mais la situation semble être sur le point de se résorber. Hier, la Fondation Linux a annoncé la création d’une nouvelle organisation nommée Core Infrastructure Initiative. Ce consortium à but non lucratif fournira du financement pour certaines des plus importantes initiatives au code source ouvert afin d’assurer la prospérité d’Internet, ce qui permettra aux développeurs principaux de travailler sur leurs projets à temps plein, et assurera également un examen plus approfondi du nouveau code afin d’éviter qu’une faille comme celle de Heartbleed ne puisse être exploitée.

«Après la crise provoquée par Heartbleed, nous nous sommes demandés  : comment cela est-il arrivé et quel rôle la Fondation Linux peut jouer afin que l’on soit certaine que cela ne se reproduise pas», explique Amanda McPherson, directrice du marketing de la Fondation Linux. «Nous avons décidé de faire ce nous faisons toujours : travailler avec l’industrie pour lever des fonds afin de soutenir directement les développeurs pour qu’ils puissent faire ce qu’ils font le mieux, développer, tandis que nous leurs donnons de l’assistance de la même façon que nous soutenons Linus Torvalds.»

Parmi les membres du Core Infrastructure Initiative, on retrouve Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, Qualcomm et VMWare. Ces derniers ont promis d’investir individuellement 100 000$ US par année au cours des trois prochaines années – pour un total de 3,9 millions.

McPherson a déclaré que son organisme s’attend à ce que ce montant augmente au fur et à mesure que de nouvelles entreprises intégreront le consortium. La Fondation Linux administrera les fonds tandis que les entreprises membres et d’autres intervenants de la communauté open source formeront un comité de direction et un conseil consultatif qui sélectionnera les projets à financer.

Il va sans dire qu’OpenSSL sera la première initiative à recevoir du financement.

  • http://stech72.tumblr.com/ Steve C

    Parfois c’est difficile d’être positif sur une annonce de la sorte ..

    Avant Linux , les projets d’open source comme freeBSD par exemple avait mis de l’avant cette philosophie ce principe d’être en mesure de vérifier et de contre-vérifier et même de pourvoir mettre en oeuvre des mesure de Test Unit sur sur code proposé au propriétaire de serveurs ..

    À une certaine époque , les entreprises qui détenaient des serveurs importants . Maitrisait d’un bout à l’autre , toutes les opérations comme la mise en marche des mises a jours , des codes responsables et de la réécriture des fameux codes … Pour être administrateur sur d’ancien AS400IBM pour prendre cet exemple il fallait avoir une rigueur et la démontrer .

    Avec le temps le Free est venu appuyer l’Open , du code source gratuit et ouvert s’est distribué, mais au lieu justement de poussé cette initiative ver plus de rigueur et plus d’attention de la part des gestionnaires de département , les ressources en technicien compétant tant au niveau du code que de l’administration système à diminué tout ça pour faire diminué les couts d’exploitation et de faire passé l’entreprise de 400% de profits a plus de 700% (le top business 100 de 1950 à 2000)

    Il y a eu explosion d’offre de solution et dans le même élan une diminution des ressources de haut niveau ou bien de secteur plus pointue , le service dans de nombreuses entreprises est passé à l’impartition de ce type de service …

    En bref avec le temps même après l’arrivé de Linux ce Kernel gratuit et ouvert , toutes les entreprises on pigé dans le paquet de bonbons sans jamais vérifié si la recette était adéquate pour leurs services, mais surtout et il est la le pire , sans jamais réinvestir dans le plat de bonbons ……. et avec le temps ou toutes les grosses poches du monde de la techno on fait profité leurs valeurs boursières de code gratuitement acquis sans même se donné la peine de faire évolué et d’agrémenté les ressources on finit par s’y casser les dents ……

    Maintenant on se ramasse a faire de l’investissement de rattrapage qui si le passé est garant de l’avenir ne tiendra que quelques années moins d’une décennie tout au plus, et tout ça pour venir rapiécé en apparence seulement la gourde de leurs sous investissement qui découle sur plus de 20 ans …

    ET nous comme société , comme une belle bande de bonasse nous croyont encore les belles paroles de ses entreprises au prétendu comportement responsable … Qui veut le beurre et l’argent du beurre .. Le but de l’open source était de permettre de de nombreux génie en logiciel de parcourir le code et le faire évolué et de l’améliorer et ne pas simplement le recopier et l’exploiter .

    Il serait plus que normal , que le gouvernement en ce qui concerne les technologies qui touche aux informations de la population , revienne a ce qui était en 1970 et c’est à dire , d’avoir ses propres ingénieurs indépendants et de construire des solutions sur mesure et que le gouvernement possède à lui-même son propre système et son propre code .

    Des gourdes comme la faille goto=fail d’OPENSSL on en retrouvera d’autre, car combien de code non vérifié et non re-testé se trouve en ce moment dans les entrailles de nombre de serveurs présentement en fonction ?? la variable est inconnue .

    Je prend donc cette nouvelle avec un gros bof …

    • HD Z

      Vivez-vous toujours sur une ferme ?
      N’est-ce pas un peu la même situation dans bien des sphères de notre vie humaine.

      • http://stech72.tumblr.com/ Steve C

        Non je ne vie pas sur une ferme mais au nom de la modernité je ne suis pas près à me débarrasser des fermes justement car elle donnent un service essentiel et l’expertise d’un fermier demeure ………… vous me comprenez ?

        Pour prendre cette analogie , on introduirait un fermier pour cent ferme et il donnerait la même diète à tout les animaux sans aucune distinction au sacré saint nom de la rentabilité ….. et bien en informatique c’est exactement ce qui se produit .

        • HD Z

          C’est exactement ce qui se produit dans l’élevage intensif (‘factory farming’).
          Bien sur je n’approuve pas nécessairement ces pratiques.

    • tremdavid

      Y a beaucoup de contributeurs pour toute sorte de projets et les compagnies en question google IBM et autre contribuent à deux nombreux logiciels libres. Ils le font pour y ajouter des fonctionnalités et pour en contrôler l’agenda.

      y a pas vraiment personne qui « ajoute » des fonctionnalités à OpenSSL ce n’est pas « sexy » de le faire. Ce petit bout de code on le prenait pour acquis, les gros comme les petits

      Évidemment lorsqu’on sait que les 3/4 de l’infrastructure de l’internet utilise en tout ou en partie des logiciel libre on serait en droit de s’attendre à plus de collaboration.

      êtes vous en train de suggérer que les gouvernements développent des solutions propriétaires plutôt qu’investissent eux même dans des projets open source qu’ils utilisent ? ou bien j’ai mal compris parce que je trouverais cela inacceptable et surtout contre-productif.

  • tremdavid

    C’est une bonne nouvelle, que les gros qui profitent le plus de petits projets tel openSSL, fassent leur part. Que la fondation Linux gère le fond est aussi une bonne nouvelle. Y aura moins d’interférence corporative et les développeurs feront ce qu’ils font de mieux. Développer.