Инициатива базисной инфраструктуры (CII) Базы Linux создает счет риска к проектам с открытым исходным кодом оказать помощь идентифицировать нуждающихся в дополнительной поддержке и финансировании.После уязвимости совокупности обеспечения безопасности Heartbleed в апреле 2014, База Linux установила Инициативу базисной инфраструктуры (CII), чтобы оказать помощь финансировать и поддерживать критические проекты с открытым исходным кодом.
Сейчас больше чем год спустя, CII финансирует Проект переписи лучше идентифицировать и победить возможно уязвимые проекты с открытым исходным кодом, которые имели возможность приобрести преимущества от помощи CII.Сейчас CII оценивал нуждающиеся проекты, но осознал, что глубокая оценка и общий метод кодовых баз требуются, чтобы вправду идентифицировать самые нуждающиеся проекты, сообщила Эмили Рэтлифф, главный директор Безопасности инфраструктуры в Базе Linux.
Сейчас CII помог фонду многократные проекты, включая OpenSSL, и заявил о 452 000$ в финансировании в июне для трех проектов с открытым исходным кодом оказать помощь повысить кодовое уровень качества.«возможности и Новые функции то, что Проект переписи скоро автоматизирует анализ и сбор данных по разным проектам с открытым исходным кодом и в итоге создает счет риска к каждому проекту, основанному на итогах», сообщил Рэтлифф eWEEK. «Цель пребывает в том, что эта программа ускорит принятие ответов CII около предложений по предоставлению, обеспечивающие фонды поставляются максимально скоро самому нуждающемуся ПО».Одна Рэтлифф лишь не так давно забрала роль фаворита в CII как специальный ресурс, помогающий новости упрочнение вперед.
Рэтлифф растолковал, что новый счет риска к проектам с открытым исходным кодом вычисляется программой переписи, основанной на многих параметрах, включая число факторов, и ранее раскрыл Воздействия и Общие Уязвимости (CVE) идентификаторы уязвимости. Вычисление счета риска сделано как упрочнение с открытым исходным кодом, и Рэтлифф сохраняет надежду, что частные лица представят улучшения и предложения эвристики для улучшения вычисления счета.
«Мы будем повторно делать перепись иногда, чтобы видеть, как проектные очки изменяются в течение продолжительного времени, что случится в значительной мере благодаря трансформаций числом фактора, популярности проекта и количестве CVE», сообщила она. «Мы вправду сохраняем надежду, что этот проект откроет диалог около надлежащих метрик для оценки риска проекта с открытым исходным кодом».Проект переписи, но, не имеет полномочия выполнить статический либо динамический анализ кода для изучения кода приложения на каждые уязвимости. Рэтлифф заявил, что CII ожидает, что разработчики ПО с открытым исходным кодом будут применять типы статического и динамического анализа инструментов и делать анализ самих.
«Если они делают этот тип анализа, тогда их счет риска обязан уменьшаться в течение продолжительного времени», сообщила она.Были многократные упрочнения за прошлое десятилетие, чтобы оказать помощь проектам с открытым исходным кодом совершить статический анализ кода. Одно из тех упрочнений есть Сканированием Coverity, которое сперва начало в 2008 частично благодаря предоставлению от американского Министерства нацбезопасности (DHS).Цель Проекта переписи пребывает в том, чтобы оказать помощь идентифицировать нуждающиеся проекты с открытым исходным кодом помощи, не смотря на то, что Рэтлифф подчернул, что нет никакой определенной формулы финансирования на месте, которая конкретно коррелируется к счету риска.
«Все финансирование будет предложено и утверждено частными лицами, основанными на фактической проектной потребности», сообщила она. «Цель Проекта переписи пребывает в том, чтобы скоро отфильтровать проекты к передней стороне очереди для более глубокой оценки консультативным советом и участниками».Тогда как CII окажет помощь проектам фонда фиксировать недостатки и улучшить безопасность, Рэтлифф заявил, что CII не имеет в распоряжении замыслов вознаградить исследователей в области безопасности за раскрытие недостатков через некую форму программы субсидии неточности.
Программы субсидии неточности стали все более и более популярными сейчас у многократных технологических поставщиков, включая Яху, Гугл, Mozilla и Facebook.Существует все еще довольно много для CII, чтобы сделать в месяцах вперед, согласно данным Ratliff.
«Мы остаемся сфокусированными на отечественной миссии идентифицировать и поддерживать самую критическую инфраструктуру с открытым исходным кодом в мире», сообщила она. «Мы будем также устанавливать последовательность способов самая успешной практики для развития с открытым исходным кодом, потому, что это относится безопасности. Ищите подробные информацию об этом в ближайшее время».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.