OpenSSL sera audité et maintenu à plein temps par deux développeurs
Le 2014-06-01 14:58:00, par Arsene Newman, Expert éminent sénior
Plus d’un mois après l’annonce de la création du consortium CII (Core Infrastructure Initiative) en réponse au tollé provoqué par la faille d’OpenSSL Heartbleed, une feuille de route a été émise. Le but de la manœuvre est de financer certains projets libres pour les auditer ainsi que détecter et corriger leurs bugs.
Dirigé par la fondation Linux et réunissant différents géants de l’IT y compris ceux qui sont traditionnellement adeptes des logiciels propriétaires comme Microsoft, le consortium a décidé de financer en priorité le projet OpenSSL en affectant deux développeurs et en finançant un audit qui se fera via OCAP (Open Crypto Audit Project).
Outre OpenSSL, la CII a aussi décidé du financement de deux autres projets : OpenSSH et le protocole NTP (Network Time Protocol). Un conseil consultatif a été également créé pour aider les sociétés participantes aux projets open source, qui ont besoin de support.
« Tout développement logiciel nécessite un support et un financement. Le logiciel open source ne fait pas exception et mérite une attention à hauteur du rôle dominant qu’il joue aujourd’hui dans le support mondial des infrastructures de l’information » a expliqué Jim Zemlin, Directeur exécutif de la fondation Linux, avant de rajouter : « La CII met en œuvre la même approche collaborative qui est utilisée pour le développement logiciel que pour le financement des projets les plus critiques. L’objectif de la CII est de passer d’une réponse réactive à la crise à une approche proactive afin d’identifier et de financer les projets qui sont le plus dans le besoin. Je suis ravi que nous ayons maintenant un forum pour connecter ceux dans le besoin avec ceux disposant des fonds ».
Enfin, la fondation Linux a annoncé que plus de 5.4 millions de dollars ont d’ores et déjà été alloués et que le consortium a été rejoint par d’autres acteurs majeurs de l’IT. Il s’agit notamment d’Adobe, Bloomberg, HP, Huawei et Salesforce.
Source : Annonce Linux Foundation
Et vous ?
Dirigé par la fondation Linux et réunissant différents géants de l’IT y compris ceux qui sont traditionnellement adeptes des logiciels propriétaires comme Microsoft, le consortium a décidé de financer en priorité le projet OpenSSL en affectant deux développeurs et en finançant un audit qui se fera via OCAP (Open Crypto Audit Project).
Outre OpenSSL, la CII a aussi décidé du financement de deux autres projets : OpenSSH et le protocole NTP (Network Time Protocol). Un conseil consultatif a été également créé pour aider les sociétés participantes aux projets open source, qui ont besoin de support.
« Tout développement logiciel nécessite un support et un financement. Le logiciel open source ne fait pas exception et mérite une attention à hauteur du rôle dominant qu’il joue aujourd’hui dans le support mondial des infrastructures de l’information » a expliqué Jim Zemlin, Directeur exécutif de la fondation Linux, avant de rajouter : « La CII met en œuvre la même approche collaborative qui est utilisée pour le développement logiciel que pour le financement des projets les plus critiques. L’objectif de la CII est de passer d’une réponse réactive à la crise à une approche proactive afin d’identifier et de financer les projets qui sont le plus dans le besoin. Je suis ravi que nous ayons maintenant un forum pour connecter ceux dans le besoin avec ceux disposant des fonds ».
Enfin, la fondation Linux a annoncé que plus de 5.4 millions de dollars ont d’ores et déjà été alloués et que le consortium a été rejoint par d’autres acteurs majeurs de l’IT. Il s’agit notamment d’Adobe, Bloomberg, HP, Huawei et Salesforce.
Source : Annonce Linux Foundation
Et vous ?
-
Traroth2Membre émériteCes 7 failles n'auraient pas été découvertes sans Heartbleed. A quelque chose malheur est bon...
C'est la NSA qui va commencer à faire la tête : leurs portes secrètes sont murées les unes après les autres !le 06/06/2014 à 10:27 -
JedaiExpert éminentAttention : OpenSSH et OpenSSL ne sont pas comparables, ce n'est pas du tout la même équipe et la qualité du code est bien meilleure dans OpenSSH (maintenu par les types d'OpenBSD) que dans OpenSSL (ce qui ne veut pas dire qu'OpenSSH n'a pas de bugs...).
Mettre tant de sous et de moyens dans OpenSSL en l'état me semble une très mauvaise idée, j'aurais préféré que ces moyens soient mis derrière LibreSSL, le fork d'OpenSSL démarré par les types d'OpenBSD et qui a déjà bien nettoyé le code (voir cette page pour des changements détaillés avec commentaires caustiques et cette vidéo pour une présentation du projet et de ses motivations).
A terme, je pense qu'utiliser C pour programmer ce type de bibliothèque est une stratégie erronée et un langage alternatif qui assure un minimum de sécurité par défaut serait un choix préférable.le 04/06/2014 à 15:42 -
Pierre GIRARDExpert éminentle 06/06/2014 à 12:42
-
GTSLASHInactifEt combien de routeurs et d'autre périphériques nécessitant une mise à jour manuelle ?300 000 serveurs encore vulnérables à Heartbleed
bravole 23/06/2014 à 16:51 -
gangsoleilModérateurChromeBleed pour chrome, et HeartBleed pour firefox. Je n'utilise pas d'autres navigateurs, mais je suis certain que ca existe.le 27/06/2014 à 9:54
-
Pierre GIRARDExpert éminentJe ne vois pas en quoi un financement même sans limite pourrait supprimer tous les risques. Par contre, si ça permet de multiplier les contrôles, c'est forcément un plus.le 01/06/2014 à 18:19
-
ZeflingExpert confirméÇa sera toujours mieux qu'un ou deux bénévoles qui font ça quand ils ont le temps le soir.le 02/06/2014 à 14:02
-
abriotdeMembre chevronnéLes projets comme OpenSSL ne sont plus maintenu par 1 ou 2 bénévoles de temps en temps. Cela fait longtemps que des ingénieurs de Google, Facebook ou encore Microsoft, Apple sont payé pour développer des projets Open-source utilisés en interne. Ce dont il est question c'est de maintenir et auditer les projets très critique de manière "permanente". Actuellement, les ingénieur faisait signe quand il trouvaient un bug ou plus souvent une faille dans le protocole et plus souvent encore une nouvelle fonctionnalité a ajouter et l'ajoutait. Certes toute une communauté vérifiait derrière mais ce n'était pas défini précisément et le vieux code était rarement audité.
Il faut savoir qu'aucune entreprise privé ne maintient un code comme OpenSSH/OpenSSL aussi largement utilisé et critique. Certes certaines entreprise travail pour la défense sur des outils plus sécurisé encore mais le plus souvent ils se basent sur OpenSSH/OpenSSL et si ce n'est pas le cas en reprennent l'essence sur des pojet plus difficile a hacké parce que peu utilisés.le 02/06/2014 à 15:00 -
ColmeaMembre du ClubBonne initiative ! En espérant qu'elle s'élargisse rapidement à d'autres projets.
Par contre, est-ce que c'est bien nécessaire de mettre deux personnes à plein temps sur OpenSSL ? (vraie question, je ne connais pas assez le projet pour juger de l'utilité de deux devs sur ce projet).le 02/06/2014 à 18:36 -
marsupialExpert éminentle 04/06/2014 à 9:26