přejít na obsah přejít na navigaci

Linux E X P R E S, Výzvy firmám: Podpořte projekt OpenSSL

Výzvy firmám: Podpořte projekt OpenSSL

Peníze

Navzdory miliardám dolarů tekoucím do svobodného softwaru zůstávají některé významné projekty silně podfinancované. Patří k nim i OpenSSL, kde byla nalezena vážná bezpečnostní chyba. Proto se objevují výzvy, aby firmy podpořily finančně vývoj této důležité technologie.


Do vývoje svobodného a open-source softwaru firmy investují poměrně značné peníze (například IBM teď vkládá do Linuxu a dalších technologií další miliardu dolarů). Navzdory tomu se stává, že do některých významných projektů tyto prostředky „nedotečou“. Příkladem je i technologie OpenSSL, v níž byla před pár dny nalezena velmi vážná bezpečnostní chyba.

Hlavní vývojový tým nyní tvoří čtyři lidé, na vývoji se podílí i dalších jedenáct – ovšem ohledně financování musejí spoléhat na dary a sponzorství. Takže přes důležitost této technologie a její rozšířenost nemusí být možné vždy věnovat zajištění kvality kódu dostatek času a úsilí.

Varovné signály se objevovaly už dříve. Příkladem je třeba studie univerzity v Aalto, která ukázala nebezpečí útoku na OpenSSL přes postranní kanál, konkrétně skrze časování.

Robin Seggelmann, který je spoluzodpovědný za nynější chybu v OpenSSL, k situace v projektu říká, že „je důležité monitorovat kritický a bezpečnostní software tak často, jak to jen lze. To je velká výhoda open-source softwaru: je volně dostupný každému, kdo se chce podílet. Bohužel, navzdory ohromnému rozšíření a používání miliony uživatelů, nemá OpenSSL adekvátní podporu. I přes tak velké množství uživatelů je jich jen několik málo, kteří se projektu aktivně účastní.“

Bezpečnostní specialista Matthew D. Green na Twitteru přímo řekl: „Hej, firmy, které používáte OpenSSL: Kolik dolarů jste utratily za odstranění následků chyby Heartbleed? Proč nepodpořit OpenSSL, aby se to nestalo znovu?“

Nahoru

Příspěvky

Výzvy firmám: Podpořte projekt OpenSSL
Typhoon 14. 04. 2014, 09:02:40
Odpovědět  Odkaz 
Tak som trošku málo prispel :)
Naozaj, kto môže a využíva vie poslať aspoň málo a aj to pomôže...
Pekný deň.
Výzvy firmám: Podpořte projekt OpenSSL
Marek 14. 04. 2014, 09:08:00
Odpovědět  Odkaz 
Myslím si, že tato výzva nebude vyslyšena téměř nikým.
- Komerční subjekt (mecenáš), který již dnes finančně podporuje vybraný open-source, má jasno proč ten či onen software podporuje a nepotřebuje žádného vyzyvatele.
- Komerční subjekt, který má své důvody, proč open-source nepodporuje, ačkoliv využívá openssl, tak nebude kvůli této výzvě nic měnit. Chyba je v dané "knihovně" opravena.
- Státní správa a samospráva jen těžko bude hledat zákonné důvody, proč investovat peníze daňových poplatníků do vývoje této "knihovny".

Mimochodem, kolik lidí na světě dokáže pochopit algoritmy a následně i implementaci (kód) použitý v openssl? Změní se toto číslo po nalití peněz?
Nebylo by smysluplnější, kdyby tým vývojářů openssl nevzala pod svá křídla stabilní open-source nadace, či firma?
Lukáš Jelínek Re: Výzvy firmám: Podpořte projekt OpenSSL
Lukáš Jelínek 14. 04. 2014, 09:53:45
Odpovědět  Odkaz 
Že je chyba "opravena", samozřejmě nic moc neznamená. Podobných chyb tam může být víc a kdykoli (s novými verzemi) tam mohou přibýt nové. Nejde o minulost, jde o budoucnost.

Státní správa a samospráva - tady se obávám, že to poslouží jako argument, proč nepoužívat open source, protože s proprietárním softwarem "se to přece nestane". Ono se to samozřejmě již stalo a stane. Jednak spousta proprietárního softu používá svobodné knihovny (zrovna včetně OpenSSL), zadruhé i v čistě proprietárním kódu jsou chyby - například ve Windows byla 9 let (!) chyba, která umožňovala relativně snadno převzít úplnou kontrolu nad strojem.

Do jaké míry pomůže OpenSSL pouhé "nalití peněz", to si netroufám odhadnout. Vývojový tým by si mohl například zaplatit několik nezávislých auditů na každou novou verzi. Převzetí pod nadaci nebo firmu by mohlo pomoci ve smyslu úspory z rozsahu, ale i tam by se musely někde vzít nové prostředky, aby to nešlo na úkor jiných projektů.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz