Корпорация Mozilla объявила о создании фонда Secure Open Source (SOS) . Его цель — финансирование профессионального аудита безопасности программного обеспечения с открытыми исходными кодами и устранение обнаруженных уязвимостей. На решение этой задачи Mozilla выделила грант величиной 500 тысяч долларов.
Стимулом для создания фонда стало обнаружение ряда опасных уязвимостей в важных программных средствах с открытыми исходниками. Речь идёт, в частности, о Hearthbleed, ошибке переполнения буфера в криптографической библиотеке OpenSSL, и серии уязвимостей в Bash, которую окрестили Shellshock.
В Mozilla полагают, что Hearthbleed и Shellshock годами ускользали от внимания разработчиков и сообщества из-за нехватки ресурсов. Сложилась поразительная ситуация: на безопасность софта, который жизненно необходим миллионам компаний и тысячам государственных учреждений, нет ни времени, ни денег. И это несмотря на то, что ущерб, к которому способны привести такие уязвимости, многократно превышает средства, необходимые для их своевременного устранения.
Фонд SOS призван решить эту проблему. В Mozilla надеются, что другие организации присоединятся к инициативе и добавят к первоначальным 500 тысячам долларов свои вклады.
Деньги пойдут на финансирование аудита программ, выполняемого фирмами, которые специализируются на информационной безопасности, а также на организацию работ по ликвидации найденных ошибок. После исправления уязвимости результат перепроверят профессионалы.
Mozilla уже испытала эффективность такого подхода. Перед открытием фонда компания наняла специалистов для аудита трёх проектов с открытыми исходниками. В результате удалось найти и устранить более сорока уязвимостей, в том числе одну критическую. Кроме того, при аудите библиотеки libjpeg-turbo обнаружились две связанные с безопасностью проблемы в самом стандарте JPEG.
