Корпорация Mozilla объявила о создании фонда Secure Open Source (SOS) . Его цель — финансирование профессионального аудита безопасности программного обеспечения с открытыми исходными кодами и устранение обнаруженных уязвимостей. На решение этой задачи Mozilla выделила грант величиной 500 тысяч долларов.

Стимулом для создания фонда стало обнаружение ряда опасных уязвимостей в важных программных средствах с открытыми исходниками. Речь идёт, в частности, о Hearthbleed, ошибке переполнения буфера в криптографической библиотеке OpenSSL, и серии уязвимостей в Bash, которую окрестили Shellshock.

В Mozilla полагают, что Hearthbleed и Shellshock годами ускользали от внимания разработчиков и сообщества из-за нехватки ресурсов. Сложилась поразительная ситуация: на безопасность софта, который жизненно необходим миллионам компаний и тысячам государственных учреждений, нет ни времени, ни денег. И это несмотря на то, что ущерб, к которому способны привести такие уязвимости, многократно превышает средства, необходимые для их своевременного устранения.

Фонд SOS призван решить эту проблему. В Mozilla надеются, что другие организации присоединятся к инициативе и добавят к первоначальным 500 тысячам долларов свои вклады.

Деньги пойдут на финансирование аудита программ, выполняемого фирмами, которые специализируются на информационной безопасности, а также на организацию работ по ликвидации найденных ошибок. После исправления уязвимости результат перепроверят профессионалы.

Mozilla уже испытала эффективность такого подхода. Перед открытием фонда компания наняла специалистов для аудита трёх проектов с открытыми исходниками. В результате удалось найти и устранить более сорока уязвимостей, в том числе одну критическую. Кроме того, при аудите библиотеки libjpeg-turbo обнаружились две связанные с безопасностью проблемы в самом стандарте JPEG.



Оставить мнение