心脏出血漏洞曝光以来,Linux基金会首次宣布将资助OpenSSL代码的安全审计,并支付两位全职程序员的工资。
OpenSSL加密软件为全球科技企业广泛使用,但其核心代码库的维护资金却少得可怜,为此LInux基金会创建了核心基础设施计划(CII),用以提升OpenSSL等开源项目的安全水平。
本周四,Linux基金会宣布CII的首笔资金将投给OpenSSL、OpenSSH和NTP(网络时间协议),同时宣布华为、Adobe、Bloomberg、惠普和Salesforce.com成为CII的新会员。
据悉,投给OpenSSL的资金将包括两位全职程序员的工资支出,此外开放加密审计项目(OCAP)也将获得基金会支付的专项资金,用于对OpenSSL的代码库进行审计。
OpenSSL软件基金会总裁Steve Marquess接受媒体采访时表示:
这是一个令人振奋的新闻,意味着OpenSSL项目的重生。虽然从个人来说我感觉两个全职程序员还是少了点,Linux基金会伸出的援手是OpenSSL项目迄今为止最好的消息。
CII项目的会员,包括IBM、富士通、亚马逊、戴尔、思科、Facebook、谷歌、英特尔、高通、VMware,以及新加入的华为、惠普等企业都承诺将每年向CII项目投入10万美元,持续至少三年。
目前Linux基金会并未透露OpenSSL、OpenSSH和NTP之间的专项资金分配比例,不过Linux基金会表示随着安全评估完成,将在预算许可范围内向更多开源项目投入安全专项资金。
OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)
OpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复