Linux Foundation plant Hilfe für kritische Teile der globalen IT
Im Nachlauf des Heartbleed-Bug rückte eine Tatsache ins Licht der Öffentlichkeit: Die OpenSSL-Foundation ist völlig unterfinanziert und überarbeitet. Diese Tatsache greift die Linux Foundation auf, um eine Initiative zu starten, die essentielle Teile der globalen Informations-Infrastruktur mit ausreichend Geld versorgen soll.
OpenSSL ist ein wichtiges und Sicherheits-relevantes Element für viele Internet-Dienste und Webseiten, doch keines der nutznießenden Unternehmen sorgt bisher für eine angemessene Finanzierung dieser kritischen Software. Anders als etwa der Linux-Kernel, der auf eine solide Finanzierung aus der Wirtschaft bauen kann, erhielt OpenSSL in der Vergangenheit trotzt sicherheitskritischer Bedeutung nie solch eine Aufmerksamkeit. Steve Marquess, Präsident der OpenSSL-Foundation, hatte vergangene Woche einen Aufruf an die „Fortune 1000“-Unternehmen gerichtet, die mehr oder weniger alle von OpenSSL profitieren, und auf die finanzielle Situation der Foundation aufmerksam gemacht und um Spenden gebeten, um OpenSSL besser betreuen zu können.
Das hat die Linux Foundation nun zum Anlass genommen, eine Gruppe namhafter Unternehmen, darunter Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware zu einer Gruppe namens „Core Infrastructure Initiative“ zu schmieden, die solch kritische Teile der Open-Source-Infrastruktur finanzieren soll. Die Initiative soll Gelder in Millionenhöhe zur Verfügung stellen, um solche Projekte finanziell abzusichern. Die genannten Unternehmen verpflichten sich dabei, über zunächst nicht weniger als drei Jahre jeweils mindestens 100.000 US-Dollar zur Verfügung zu stellen.
Das erste Projekt, das für diese Förderung aus gegebenem Anlass in Frage kommt, ist OpenSSL. Die Gelder könnten dort zusätzliche Entwickler und öffentliche Code-Reviews finanzieren und die Reaktionszeit auf eingesandte Patches verkürzen. Laut Marquess gibt es derzeit nur einen Vollzeit-Arbeitsplatz für einen Entwickler, gebraucht würden aber sechs.
Jim Zemlin, Geschäftsführer der Linux Foundation, sagt, es sei sehr leicht gewesen, die Unternehmen ins Boot zu holen. Aus heutiger Sicht, so ergänzt er, hätte dies bereits vor Jahren passieren müssen. Die unterstützten Projekte unterliegen keinerlei Auflagen, die Bestimmung der notwendigen Ausgaben obliege der jeweiligen Community. Die Linux Foundation will dabei auch auf die weitere Unabhängigkeit der Projekte achten. Um Fehler wie Heartbleed künftig vielleicht vermeiden zu können, will die Foundation nun auch proaktiv tätig werden, um hilfsbedürftige Projekte, die den Kriterien entsprechen, ausfindig zu machen. Das kommt auch den Unternehmen aus finanzieller Sicht entgegen, weil eine angemessene Finanzierung der eingesetzten Open-Source-Software allemal günstiger ist als die zum Teil monatelangen Aufräumarbeiten, die nach Heartbleed nun anstehen.