Linux Foundation stellt zwei Entwickler für OpenSSL bereit

Als Maßnahme gegen weitere Sicherheitslücken vom Ausmaß des Heartbleed-Bugs hat die Linux Foundation im April das Programm „Core Infrastructure Initiative“ aufgelegt. Namhafte Unternehmen wollen damit wichtige, aber unterfinanzierte Projekte unterstützen.

Zu den Unternehmen, zu denen zunächst unter anderem Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware zählten, gesellten sich jetzt Adobe, Bloomberg, HP, Salesforce.com und Huawei hinzu. Zu der zu Beginn beschlossenen Unterstützung für OpenSSL kommen nun als weitere Projekte Network Time Protocol (NTP) und OpenSSH hinzu. Zudem wird das „Open Crypto Audit“-Projekt, das bereits die Audits von TrueCrypt koordiniert, mit einem Audit von OpenSSL beauftragt.

Der beratende Beirat der Core Infrastructure Initiative (CII) wartet mittlerweile mit eindrucksvollen Namen wie unter anderem den Kernel-Entwicklern Alan Cox und Theodore T'so, dem Sicherheitsexperten Bruce Schneier, Matt Green, Professor für Kryptologie und Initiator des Open Crypto Audit Project und Eben Moglen vom Software Freedom Law Center auf.

In der ersten Finanzierungsrunde von CII werden für OpenSSL, das bisher lediglich einen bezahlten Entwickler hatte, zwei Vollzeit-Entwickler bereitgestellt. Damit werden die bisherigen Freizeit-Entwickler Stephen Henson und Andy Polyakov fest angestellt. Als zwei weitere Projekte, die zur inneren Infrastruktur des Internets gehören, erhalten das Zeitserver-Protokoll NTP und dessen Software-Implementierung sowie das Secure-Shell-Protokoll OpenSSH Unterstützung. Weitere Projekte sind in Planung und erhalten Mittel, sobald diese zur Verfügung stehen.

Die Mitglieder von CII verpflichten sich, pro Jahr für nicht weniger als drei Jahre jeweils mindestens 100.000 US-Dollar bereit zu stellen, um wichtige Projekte, die das Rückgrat des Internet bilden, zu stützen. Für diesen Zeitraum sind bereits 5,4 Millionen US-Dollar fest zugesagt.