Dana Mozilla baru akan membayar untuk audit keselamatan kod sumber terbuka

Dana Mozilla baru, dipanggil Sumber Terbuka Selamat, bertujuan menyediakan audit keselamatan sumber terbuka kod, setelah penemuan bug keselamatan kritikal seperti Heartbleed dan Shellshock dalam kepingan penting perisian.

Mozilla telah menubuhkan dana awal US $ 500,000 yang akan digunakan untuk membayar firma keselamatan profesional untuk mengaudit kod projek. Yayasan ini juga akan berfungsi dengan orang-orang yang mengekalkan projek ini untuk menyokong dan melaksanakan pembetulan dan menguruskan pendedahan, sementara juga membayar untuk pengesahan pemulihan untuk memastikan bahawa pepijat yang dikenal pasti telah ditetapkan.

Dana permulaan akan meliputi audit beberapa secara meluas -Pakai sumber terbuka perpustakaan dan program.

[Bacaan lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda]

Pergerakan ini adalah pengiktirafan penggunaan perisian open-source yang semakin meningkat untuk aplikasi dan perkhidmatan kritikal oleh perniagaan, institusi kerajaan dan pendidikan. "Dari Google dan Microsoft ke Pertubuhan Bangsa-Bangsa Bersatu, kod sumber terbuka kini ditenun dengan ketat dalam fabrik perisian yang menguasai dunia. Sebenarnya, kebanyakan Internet - termasuk infrastruktur rangkaian yang menyokongnya - menggunakan teknologi sumber terbuka, "tulis Chris Riley, ketua dasar awam Mozilla dalam posting blog Khamis.

Mozilla berharap syarikat dan kerajaan yang menggunakan sumber terbuka akan menyertai dan menyediakan pembiayaan tambahan untuk projek tersebut.

Dalam satu percubaan program SOS pada tiga helai perisian sumber terbuka, Mozilla berkata ia menemui dan menetapkan 43 bug, termasuk kelemahan kritikal dan dua isu yang berkaitan dengan format fail imej yang digunakan secara meluas. "Hasil awal ini mengesahkan hipotesis pelaburan kami, dan kami teruja untuk mengetahui lebih lanjut seperti yang kami buka untuk aplikasi," tulis Riley.

Dana SOS "mengisi jurang kritikal dalam keselamatan siber dengan mewujudkan insentif untuk mencari pepijat dalam sumber terbuka dan membiarkan orang membetulkannya, "kata James A. Lewis, naib presiden kanan dan pengarah Program Teknologi Strategik di Pusat Pengajian Strategik dan Antarabangsa, dalam satu kenyataan.

Membayar orang untuk mencari pepijat dalam perisian, kadang-kadang dalam Yayasan Linux mempunyai Inisiatif Infrastruktur Teras yang juga bertujuan untuk mendapatkan projek sumber terbuka utama, dengan kerjasama syarikat-syarikat teknologi seperti Amazon Web Services , Cisco, Google dan Facebook. CII, yang ditubuhkan pada bulan April 2014, merupakan tindak balas terhadap pepijat Heartbleed.

Menggambarkan CII sebagai memberi tumpuan kepada "pelaburan yang diperlukan, lebih jauh menyelam ke dalam infrastruktur keselamatan teras OS, seperti dalam OpenSSL," Mozilla berkata peranan SOS adalah pelengkap kerana ia mensasarkan "kelas projek OSS yang berbeza dengan keperluan keselamatan buah-buahan yang rendah."

SOS adalah sebahagian daripada program yang lebih besar, yang dipanggil Sokongan Sumber Terbuka Mozilla, dilancarkan oleh Mozilla pada Oktober tahun lepas untuk menyokong terbuka sumber dan pembangunan perisian percuma. MOSS mempunyai belanjawan tahunan kira-kira $ 3 juta.

Untuk memenuhi syarat untuk pembiayaan SOS, perisian itu mestilah sumber terbuka atau perisian percuma, dengan lesen dan kelulusan yang sesuai, dan mesti dikekalkan secara aktif. Beberapa faktor lain yang akan dipertimbangkan ialah sama ada projek itu sudah disokong oleh korporat, bagaimana lazimnya perisian yang digunakan, sama ada ia berhadapan dengan rangkaian atau secara teratur memproses data yang tidak dipercayai, dan kepentingannya untuk berfungsi dengan berterusan Internet atau Web .