Core Infrastructure Initiative soll das nächste Heartbleed verhindern

Die Linux Foundation hat das Projekt Core Infrastructure Initiative gestartet. Dieses soll in Zukunft verhindern, dass gefährliche Lücken wie der OpenSSL-Fehler Heartbleed ein weiteres Mal auftreten. Zu diesem Zweck hat Executive Director Jim Zemlin Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware angeworben. Jedes der Unternehmen trägt 100.000 Dollar im Jahr zu dem Projekt bei.

Insgesamt steht der Core Infrastructure Initiative ein Jahresbudget von 1,2 Millionen Dollar zur Verfügung. Die zwölf Firmen haben ihre Unterstützung für zunächst drei Jahre zugesagt.

Die Unterstützer sind auch Teil des Führungsgremiums. Nach eigener Aussage war Zemlins Grundidee, auch anderen Open-Source-Projekten die Förderung zukommen zu lassen, von der Linux profitiert. Der erste Schritt der Initiative ist die Unterstützung von OpenSSL.

Zunächst will die Core Infrastructure Initiative Entwickler und Kryptografie-Experten einstellen, die sich um den quelloffenen Code kümmern. Ähnlich hatte es Linus Torvalds getan, als er sich die Unterstützung der Linux Foundation sicherte, um sich auf das von ihm entwickelte Betriebssystem konzentrieren zu können. “Ich glaube, die Vorstellung ist nicht falsch, dass mehr Augen einfach mehr sehen. Unsere Idee ist es, den Austausch von Ideen zu beschleunigen.”

Wie Googles Open-Source-Chef Chris DiBona erklärt, gehe es nicht nur ums Geld. “Mindestens genauso wichtig ist, dass es dieses Forum jetzt gibt. Es ist kein Allheilmittel, und so etwas kann wieder passieren”, aber man verbessere die Wahrscheinlichkeit, dass das nächste Problem nicht die Ausmaße von Heartbleed haben wird. “Die ersten kleinen Schritte werden sein, dass die Leute, die nebenher an OpenSSL arbeiten, sich komplett dieser Software widmen können.”

DiBona erhofft sich als weitere Schritte, dass die Initiative “die beliebtesten, am wenigsten entwickelten” Open-Source-Projekte fördere, wie Core System Libraries und kryptografische Analyse-Werkzeuge. Allerdings erklärte der Google-Manager, dass die Vereinigung noch so neu sei, dass man noch nicht mal Zeit fand für ein erstes Treffen.

Auf das Fehlen von Apple und Adobe angesprochen, antworte Zemlin, dass er dort einfach keine Kontaktperson gekannt habe. Darüber hinaus habe er wegen dem Geburtstag seiner Tochter nur begrenzt Zeit für die Organisation der Initiative gehabt.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de