Nueva iniciativa busca evitar futuras variantes de Heartbleed

Grandes empresas se han sumado a una iniciativa global de la Fundación Linux. Hasta ahora, en su mayoría habían dejado el trabajo de actualización, validación y control de calidad de infraestructura central de seguridad de Internet en manos de desarrolladores voluntarios.

Gran parte de las grandes empresas tecnológicas, como asimismo un considerable número de actores menores, utilizan la funcionalidad de seguridad ofrecida por la biblioteca OpenSSL. Sin embargo, muy pocas de las empresas han hecho un aporte a la comunidad, ya sea en forma de financiamiento del proyecto, mejoras al código o control de calidad. Esto implica que el proyecto OpenSSL ha estado subatendido, y subfinanciado, lo que en parte explica por qué pasaron dos años antes que fuese detectado el error de código, o bug, que hizo posible la vulnerabilidad Heartbleed.

A pesar de los grandes desafíos que plantea Heartbleed, la vulnerabilidad también ha puesto al sector tecnológico en alerta, en el sentido que la seguridad no surge por arte de magia, incluyendo la infraestructura central de Internet.

En este contexto, la organización Linux Foundation ha anunciado la creación de un nuevo proyecto que financiará y respaldará elementos críticos de la infraestructura global de la información digital. El proyecto, denominado Core Infrastructure Initiative constituye primordialmente un foro en que las empresas tecnológicas tendrán la posibilidad de cooperar en la identificación y financiación de proyectos de código abierto, que requieran de asistencia.

Desde el comienzo del proyecto, Linux Foundation han incorporado a empresas globales como Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, Netapp, Qualcomm, Rackspace y VMware. Se espera que nuevos miembros se sumen próximamente a la organización.

Uno de los objetivos del proyecto es generar apoyo monetario para pagar honorarios a desarrolladores profesionales, que puedan trabajar para la organización, mejorando aspectos de seguridad, revisando código existente y reaccionando con rapidez a las peticiones de corrección o mejora del código.

La iniciativa Core Infrastructure Initiative ya tiene un presupuesto de varios millones de dólares. Linux Foundation será responsable de la administración, junto con una junta directiva integrada por delegados de las empresas participantes en la iniciativa e importantes desarrolladores de código abierto.

“Con esta iniciativa estamos ampliando el trabajo que ya hacemos con el kernel de Linux, en dirección a otros proyectos que pueden necesitar asistencia. La actual economía global descansa en numerosos proyectos de código abierto. Al igual que Linux Foundation ha financiado a Linus Torvalds, permitiéndole dedicarse al 100% en el desarrollo de Linux, ahora será posible financiar el trabajo de más desarrolladores y administradores, que puedan dedicar toda su jornada laboral a dar soporte a otros proyectos esenciales de código abierto”, escribe Jim Zemlin, CEO de Linux Foundation, en una nota de prensa.

Varias de las empresas que se han sumado a la iniciativa se han visto afectadas por Heartbleed. Por lo tanto, su participación en Core Infrastructure Initiative les beneficia directamente. Destaca entonces, en este contexto, la participación de Microsoft, ya que la empresa no utiliza OpenSSL, por lo que sus productos no se vieron afectados por Heartbleed. Al respecto, la compañía escribe en un comunicado: Lla seguridad es algo que atañe a todo el sector TI, y que requiere la cooperación de todos. Esta iniciativa apunta en la misma dirección que la participación de Microsoft en proyectos de código abierto, por encima de plataformas, unidades y servicios”.

Ilustración: Robin Lund © Shutterstock.com y captura de Core Infrastructure Initiative. Edición imágenes: Diario TI.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022