CII-инициатива Linux Foundation набирает обороты

Одним из главных следствий обнаружения в 2014 г. уязвимости Heartbleed стало понимание необходимости увеличить финансирование критически важных проектов в сфере Open Source. Именно поэтому организация Linux Foundation вышла в апреле 2014 г. с инициативой Core Infrastructure Initiative (CII) и в нынешнем году продолжает развивать ее вперед.

В числе компаний, поддержавших CII в финансовом плане, представлены Adobe, Bloomberg, Hewlett-Packard, VMware, Rackspace, NetApp, Microsoft, Intel, IBM, Google, Fujitsu, Facebook, Dell, Amazon и Cisco. По словам исполнительного директора Linux Foundation Джима Землина, учитывая все поступления, бюджет CII в ближайшие три года составит примерно 5,5 млн. долларов.

Хотя CII была инициирована по следам Heartbleed, серьезной уязвимости в свободном проекте OpenSSL, масштабы инициативы намного шире какого-то конкретного проекта. Одним из недавних проектов, которые получат деньги в рамках CII, является технология шифрования электронной почты GNU Privacy Guard (GnuPG), в основном создаваемая силами разработчика Вернера Коха.

«Несколько месяцев назад Linux Foundation признал необходимость поддержать Вернера Коха и в январе постановил выделить на его работу 60 тыс. долларов», — сообщил Землин.

Дополнительную известность Коху принесла опубликованная 5 февраля на портале ProPublica статья, в которой рассказывалось о проблемах финансирования его работы. В результате медийной огласки Коху удалось привлечь индивидуальные пожертвования на сумму в 120 тыс. евро. По словам Землина, в CII рады, что благодаря интервью ProPublica работа Коха привлекла внимание и в итоге получила дополнительную поддержку.

По вопросу о том, куда будут направлены привлеченные CII деньги, Землин сказал, что примерно половина полученных средств выделена под ряд проектов и инициатив сроком на три года. Помимо OpenSSL и GnuPG поддерживаются также проекты OpenSSH, Open Crypto Audit Project и Bash. В будущем, говорит Землин, поступит информация и о финансировании других проектов.

На его взгляд, CII предоставляет ИТ-отрасли экономически эффективный способ улучшить состояние безопасности Интернета. CII обещает помочь избежать миллионных затрат на восстановление после атак нулевого дня, обеспечив решение возможных проблем в опережающем режиме. Для этого в рамках CII проводятся исследования, позволяющие определить, какие проекты реально требуют финансовой помощи. «Мы ищем проекты, финансирование и ресурсы которых не соответствуют их общественной важности», — сказал Землин.

Имеется немало направлений разработок Open Source, относящихся к тому, что Землин назвал «естественным рынком» для поддержки. В них входит Linux, Hadoop и OpenStack, которые пользуются широкой поддержкой вендоров и хорошо финансируются. Однако есть и другие проекты, у которых естественной рыночной поддержки нет, и к ним относятся OpenSSL, NTP, OpenSSH и GPG.

По словам Землина, чтобы найти следующие полсотни проектов, которые надо поддержать, требуется основательно поработать, и исследования в рамках CII помогут выявить самые нуждающиеся проекты.

«Не менее важно, что CII поможет найти наилучшие способы приложения ресурсов поддержки не во вред естественным рынкам и механизмам, сложившимся вокруг разработок Open Source, — сказал он. — Подозреваю, что о некоторых проектах мы узнаем через иные каналы, например, Twitter или традиционные средства массовой информации. Каков бы ни был механизм, мы будем рады, что важные проекты получат требуемое внимание».