Google, Microsoft, Facebook ed altri insieme per migliorare OpenSSL

La CII, promossa dalla Linux Foundation, raccoglierà e conserverà donazioni da dedicare ad OpenSSL ed altri progetti

La scoperta di Heartbleed ha generato uno scossone nell’ecosistema web ed ha ravveduto la maggior parte dei colossi informatici – e non solo quelli – sull’importanza dello standard OpenSSL e di tanti altri progetti open source, e su come il loro sviluppo sia stato sottovalutato - almeno in termini economici.

Essendo un progetto completamente open source, infatti, OpenSSL ha basato le spese di manutenzione e gestione principalmente (ma non solo) sulle donazioni delle aziende: in più di una occasione è stato sottolineato come gli “sforzi” economici delle aziende siano stati relativamente bassi rispetto all’utilizzo spasmodico - visto il livello di sicurezza offerto - di tale standard.

In quattro parole: pochi finanziatori, tanti utilizzatori.

heartbleed1

Heartbleed ha riportato alla luce una delle casistiche che più si incontrano nella vita reale: rendersi conto dell’importanza di un sistema antifurto dopo aver già ricevuto la visita dei ladri.

Proprio a questo proposito la Linux Foundation ha deciso che una cosa del genere non debba più accadere, fondando il progetto Core Infrastructure Initiative (CII): come sottolinea Jim Zemlin, direttore esecutivo, dopo l’avvento di Heartbleed è stato evidente che qualcosa dovesse cambiare:

Dopo aver aggiornato il nostro software e sostituito i nostri certificati, cosa dobbiamo imparare? Cosa si può fare in maniera differente. In realtà, ripensandoci, vorrei che l’avessimo fatto tanto tempo fa.

Ma non sarà la Linux Foundation a decidere dove i fondi andranno a finire, piuttosto il suo ruolo sarà “raccogliere questi soldi”; il potere decisionale riguardo i progetti su cui questi saranno investiti spetterà ai membri della CII: sebbene la “sveglia” sia arrivata da Open SSL, infatti, tra i progetti che l’iniziativa potrebbe supportare figurano anche PGP, ModSSL e OpenCryptolab.

Molto interessante il regolamento della CII: ciascun membro della fondazione, che ha già assoldato grandi nomi come Google, Microsoft, Facebook, Intel, Dell, Fujitsu, Rackspace e AWS, è tenuto a versare almeno centomila dollari l’anno per i prossimi tre anni. Al momento le aziende parte della CII sono 12, il che significa che sono già presenti donazioni pari a 3.6 milioni di dollari, destinate ad essere investite nei progetti menzionati poc’anzi.

Un monito forte quello scaturito dalla scoperta dell’Heartbleed, che ha (finalmente, azzarderei) sottolineato l’importanza dell’open source soprattutto per i big names nelle condizioni di finanziarne i progetti: e se c’è una cosa che si può imparare da tutto questo, sottolinea ancora Zemlin, quella è “l’importanza di prendere proattivamente decisioni del genere”.

Ricordiamo che anche OpenBSD ha deciso di contribuire in maniera autonoma al non ripetersi di situazioni del genere creando un vero e proprio fork di OpenSSL, LibreSSL.

Rispondi