Одним из главных следствий обнаружения в 2014 г. уязвимости Heartbleed стало понимание необходимости увеличить финансирование критически важных проектов в сфере Open Source. Именно поэтому организация Linux Foundation вышла в апреле 2014 г. с инициативой Core Infrastructure Initiative (CII) и в нынешнем году продолжает развивать ее вперед.

В числе компаний, поддержавших CII в финансовом плане, представлены Adobe, Bloomberg, Hewlett-Packard, VMware, Rackspace, NetApp, Microsoft, Intel, IBM, Google, Fujitsu, Facebook, Dell, Amazon и Cisco. По словам исполнительного директора Linux Foundation Джима Землина, учитывая все поступления, бюджет CII в ближайшие три года составит примерно 5,5 млн. долларов.

Хотя CII была инициирована по следам Heartbleed, серьезной уязвимости в свободном проекте OpenSSL, масштабы инициативы намного шире какого-то конкретного проекта. Одним из недавних проектов, которые получат деньги в рамках CII, является технология шифрования электронной почты GNU Privacy Guard (GnuPG), в основном создаваемая силами разработчика Вернера Коха.

«Несколько месяцев назад Linux Foundation признал необходимость поддержать Вернера Коха и в январе постановил выделить на его работу 60 тыс. долларов», — сообщил Землин.

Дополнительную известность Коху принесла опубликованная 5 февраля на портале ProPublica статья, в которой рассказывалось о проблемах финансирования его работы. В результате медийной огласки Коху удалось привлечь индивидуальные пожертвования на сумму в 120 тыс. евро. По словам Землина, в CII рады, что благодаря интервью ProPublica работа Коха привлекла внимание и в итоге получила дополнительную поддержку.

По вопросу о том, куда будут направлены привлеченные CII деньги, Землин сказал, что примерно половина полученных средств выделена под ряд проектов и инициатив сроком на три года. Помимо OpenSSL и GnuPG поддерживаются также проекты OpenSSH, Open Crypto Audit Project и Bash. В будущем, говорит Землин, поступит информация и о финансировании других проектов.

На его взгляд, CII предоставляет ИТ-отрасли экономически эффективный способ улучшить состояние безопасности Интернета. CII обещает помочь избежать миллионных затрат на восстановление после атак нулевого дня, обеспечив решение возможных проблем в опережающем режиме. Для этого в рамках CII проводятся исследования, позволяющие определить, какие проекты реально требуют финансовой помощи. «Мы ищем проекты, финансирование и ресурсы которых не соответствуют их общественной важности», — сказал Землин.

Имеется немало направлений разработок Open Source, относящихся к тому, что Землин назвал «естественным рынком» для поддержки. В них входит Linux, Hadoop и OpenStack, которые пользуются широкой поддержкой вендоров и хорошо финансируются. Однако есть и другие проекты, у которых естественной рыночной поддержки нет, и к ним относятся OpenSSL, NTP, OpenSSH и GPG.

По словам Землина, чтобы найти следующие полсотни проектов, которые надо поддержать, требуется основательно поработать, и исследования в рамках CII помогут выявить самые нуждающиеся проекты.

«Не менее важно, что CII поможет найти наилучшие способы приложения ресурсов поддержки не во вред естественным рынкам и механизмам, сложившимся вокруг разработок Open Source, — сказал он. — Подозреваю, что о некоторых проектах мы узнаем через иные каналы, например, Twitter или традиционные средства массовой информации. Каков бы ни был механизм, мы будем рады, что важные проекты получат требуемое внимание».

Версия для печати