24 abril, 2014
El impacto de Heartbleed ha sido tal que muchos de los gigantes del mundo de la informática han decidido unir fuerzas para prevenir un nuevo tropiezo en términos de seguridad. El problema con el fallo en OpenSSL se dio en parte porque, mientras existía una gran cantidad de sitios que confiaban en el software para sus sistemas de seguridad, la cantidad de fondos destinados a su desarrollo era más bien limitada. El proyecto recibia al año apenas unos USD 2 mil en donaciones. Como ocurre con otros tantos proyectos de código abierto, OpenSSL dependía en gran medida del esfuerzo que le pudieran dedicar los voluntarios.
El nuevo programa se conoce como Core Infrastructure Initiative y tiene como objetivo financiar proyectos de código abierto que se consideren críticos para las funciones centrales de la computación. La administración de esta iniciativa ha quedado en manos de la fundación Linux. Entre las empresas que respaldan el programa se encuentran: Microsoft, Google, Facebook, IBM, Qualcomm, Dell, Intel, Amazon, Cisco y Rackspace. Cada uno de los miembros se ha comprometido a donar al menos unos USD 100 mil al año durante 3 años. Una cifra pequeña para las compañías pero que puede ser significativa para alentar los desarrollos. Las doce compañías involucradas han supuesto que actualmente la CII disponga de USD 3,6 millones.
Las empresas asociadas también formarán parte de una mesa de consulta que permitirá identificar a los proyectos que merecen financiación. Además del desarrollo se espera fomentar audiciones de seguridad, pruebas de de computo e infraestructura, reuniones y otras actividades de soporte. Jim Zemlin, director ejecutivo de la Fundación Linux, señaló que Heartbleed había dejado en claro que algo debía cambiar. OpenSSL aparece como principal preocupación, no es el único objetivo. ModSSL, PGP y OpenCryptolab son otras de las posibilidades que el grupo maneja.
La CII espera conseguir nuevos miembros en las siguientes semanas y crear conciencia sobre la importancia de actuar de forma proactiva para evitar otro caso como el de Heartbleed.
Fuentes: Theverge, Linuxfoundation