Google,
Facebook, and Microsoft Team Up to Stop Another Heartbleed
By Klint Finley,
04.24.14
Bài được đưa lên
Internet ngày: 24/04/2014
Lời
người dịch: Sau sự cố đình đám lỗi Heartbleed của
OpenSSL, Quỹ Linux và nhiều công ty đã nhận thức được
tầm quan trọng của các PMNM như vậy, và Quỹ Linux đã
thành lập ra tổ chức Sáng kiến Hạ tầng Cốt lõi
(Core Infrastructure Initiative) để gây quỹ tài trợ cho
các dự án PMNM như OpenSSL và các dự án PMNM quan trọng
khác. Cho tới nay, các công ty “từ Google và Facebook tới
Amazon, Cisco, Dell, Fujitsu, IBM, Intel, Rackspec và Microsoft”
đã cam kết góp 3.6 triệu USD cho tổ chứ này.
Tồn tại không được
dò tìm ra trong 2 năm, lỗi Heartbleed đã đe dọa hé lộ
một số thông tin nhạy cảm nhất của chúng ta. Sau khi
các nhà nghiên cứu cuối cùng đã nhận diện ra lỗi đầu
tháng trước, hầu hết các website chính đã vá lỗi này
ở dạng mã hóa trực tuyến phổ biến, nhưng một trong
những câu hỏi vẫn còn: làm thế nào chúng ta có thể
ngăn chặn được dạng này lỗi khỏi xảy ra một lần
nữa?
Lỗi đó có liên quan
tới một mẩu phần mềm nguồn mở (PMNM) gọi là OpenSSL,
nó từng được sử dụng với số lượng lớn các site
để đảm bảo an ninh cho các dữ liệu người sử dụng
giống như các mật khẩu và thông tin thẻ tín dụng. Một
vấn đề lớn là OpenSSL được một
đội chỉ 4 lập trình viên quản lý, và chỉ một
trong số họ làm việc toàn thời gian cho dự án. Điều
này có nghĩa là họ có thời gian hạn chế để kiểm thử
và kiểm toán và làm cho mã nguồn dự án tuyệt vời, và
vấn đề đó không giới hạn cho OpenSSL. Trong khi các dự
án nguồn mở như Linux, máy chủ web Apache, và trình duyệt
web Firefox nhận được số lượng lớn cấp vốn và các
đóng góp từ những người ủng hộ là các công ty, thì
nhiều mẫu nhỏ nhưng sống còn của PMNM lại nhận được
ít tiền và sự chú ý hơn nhiều.
Nhưng
hôm thứ năm, được ủng hộ từ Google và Facebook, Quỹ
Linux đã công bố nó sẽ tham gia và sửa lỗi lớn này,
khi thành lập một tổ chức gọi là Sáng kiến Hạ tầng
Cốt lõi (Core Infrastructure Initiative). Nhóm phi lợi nhuận
này sẽ cung cấp vốn cho một số dự án quan trọng nhất
của mạng, cho phép các lập trình viên chính làm việc
trong các dự án toàn thời gian, nhưng cũng bào mòn trong
kiểm toán an ninh, kiểm thử hạ tầng, các chi tiêu đi
lại và các hỗ trợ khác.
“Sau khủng hoảng
Heartbleed chúng tôi đã tự hỏi: Làm thế nào điều này
đã xảy ra và đâu là vai trò mà Quỹ Linux có thể đóng
để đảm bảo nó không xảy ra một lần nữa?” Amanda
McPherson, giám đốc marketing của Quỹ Linux nói. “Chúng
tôi đã quyết định làm những gì chúng tôi luôn làm:
làm việc với giới công nghiệp để gây vốn tiền và
cấp vốn cho các lập trình viên trực tiếp sao cho họ có
thể làm những gì họ làm tốt nhất, phát triển, trong
khi chúng tôi trao cho họ sự hỗ trợ theo cách mà Linus
Torvalds làm”.
Những
người ủng hộ sáng kiến đó bao gồm các công ty công
nghệ: từ Google và Facebook tới Amazon, Cisco, Dell, Fujitsu,
IBM, Intel, Rackspec và Microsoft. McPherson nói tổ chức đó
có cam kết 3.6 triệu USD rồi từ những người ủng hộ,
và nó kỳ vọng lượng đó sẽ gia tăng khi nhiều công ty
hơn ra nhập. Quỹ đó sẽ quản trị các vốn sáng
kiến mới đó, và những người ủng hộ tổ chức và
các bên tham gia đóng góp khác từ cộng đồng nguồn mở
sẽ thành lập ban chỉ đạo và ban cố vấn mà sẽ lựa
chọn các dự án để nhận vốn cấp. OpenSSL là dự án
đầu tiên mà sáng kiến đang cân nhắc cấp vốn, nhưng
các dự án khác cũng sẽ được cân nhắc.
Quỹ Linux đặc biệt
là phù hợp để hỗ trợ các dự án như OpenSSL. Quỹ này
là một nhóm phi lợi nhuận gồm hơn 100 thành viên doanh
nghiệp dựa vào hệ điều hành Linux nguồn mở theo một
số cách thức, bao gồm Intel, IBM và HP. Quỹ trả tiền
cho người tạo ra nhân Linux Linus Torvalds và các lập trình
viên chủ chốt, và nó hành động như một người quản
gia chung cho cộng đồng và thương hiệu Linux.
Tuy nhiên, câu hỏi
lớn đối với nhiều người, vì sao các dự án như
OpenSSL không được cấp vốn tốt để bắt đầu. Một
phần của vấn đề là nhiều ứng dụng nguồn mở phụ
thuộc vào các thư viện mã được phát triển xuyên nhiều
đội khác nhau. Điều đó có nghĩa là nếu bạn tài trợ
tiền cho một đội lập trình, ví dụ, một máy chủ web
nguồn mở, thì tiền đó có thể không lan ra cho từng lập
trình viên đơn lẻ mà đang đóng góp mã đang được sử
dụng trong dự án.
“Tôi nghĩ rằng vì
mọi người thấy và sời được Linux, và họ thấy và
sờ được các trình duyệt của chúng, nhưng những người
sử dụng không bao giờ thấy và sờ được một thư viện
mật mã”, Steve Marquess, một trong những đối tác sáng
lập ra OpenSSL, đã nói cho chúng tôi đầu tháng này. Nhưng
thậm chí các dự án nguồn mở tên tuổi lớn đôi khi
cũng có vấn đề về gây vốn phù hợp. Ví dụ, hệ điều
hành nổi tiếng an ninh OpenBSD - được sử dụng trong
nhiều sản phẩm thương mại, như các tường lửa - gần
như phải đóng cửa hàng vào năm ngoái vì thiếu vốn.
Vấn đề đó có thể
rằng các dự án đó chỉ không lôi cuốn. Tuy nhiên làm
sao chúng lại không lôi cuốn, chúng là quan trọng sống
còn cho hoạt động của Internet như một tổng thể. May
thay, Quỹ Linux nhận thức được điều này. Như Google,
Facebook, Amazon, và nhiều công ty khác đang nhận ra.
Going
undetected for a good two years, the Heartbleed bug threatened to
reveal some of our most sensitive information. After researchers
finally identified the bug earlier this month, most major websites
have patched this flaw in a popular form of online encryption, but
one big question still remains: How we can prevent this kind of thing
from happening again?
The
bug involved a piece of open source software called OpenSSL, which
was used by a mind-boggling number of sites to secure user data like
passwords and credit card information. One big problem is that
OpenSSL is run
by a team of just four developers, and only one of them works on
the project full-time. This means they have limited time to test and
audit and perfect the project’s code, and the problem isn’t
limited to OpenSSL. While open source projects like Linux, the Apache
web server, and the Firefox web browser receive large amounts of
funding and contributions from corporate backers, many small but
critical pieces of open source software receive much less money and
attention.
But
on Thursday, backed by the likes of Google and Facebook, the Linux
Foundation announced it will take a shot at fixing this enormous
problem, founding a new organization called Core Infrastructure
Initiative. This non-profit consortium will provide funding for some
of the net’s most important projects, letting key developers work
on the projects full-time, but also chipping in for security audits,
test infrastructure, travel expenses, and other support.
“After
the Heartbleed crisis we asked ourselves: How did this happen and
what role can The Linux Foundation play to be sure it doesn’t
happen again?” says Amanda McPherson, the chief marketing officer
of The Linux Foundation. “We decided to do what we always do: work
with the industry to raise money and fund developers directly so they
can do what they do best, develop, while we give them the assistance
the way we do Linus Torvalds.”
The
initiative’s backers include a who’s who of tech: from Google and
Facebook to Amazon, Cisco, Dell, Fujitsu, IBM, Intel, Rackspace and
Microsoft. McPherson says the organization already has a $3.6 million
commitment from its backers, and it expects that amount to grow as
more companies join. The foundation will administer the new
initiative’s funds, and the organization’s backers and other
stakeholders from the open source community will form a steering
committee and advisory board that will select the projects to receive
funds. OpenSSL is the first project that the initiative is
considering funding, but other projects will be considered as well.
The
Linux Foundation is particularly well suited to take on projects like
OpenSSL. The foundation is a non-profit consortium consisting of over
100 corporate members that rely on the open source Linux operating
system in some way, including Intel, IBM and HP. The foundation pays
Linux kernel creator Linus Torvalds and other key developers, and it
acts as a general steward for the Linux brand and community.
The
big question for many, however, is why projects like OpenSSL aren’t
well funded to begin with. Part of the problem is that many open
source applications depend on libraries of code developed across many
different teams. That means that if you donate money to a team
developing, say, an open source web server, that money might not get
spread around to every single developer that’s contributing code
that ends up being used in the project.
“I
think that is because people see and touch Linux, and they see and
touch their browsers, but users never see and touch a cryptographic
library,” Steve Marquess, one of the OpenSSL foundation’s
partners, told us earlier this month. But even big-name open source
projects sometimes have trouble raising adequate funds. For example,
the security-conscious operating system OpenBSD — used in many
commercial products, such as firewalls — nearly
had to close-up shop last year due to lack of funds.
The
issue may be that these projects just aren’t that sexy. But however
unsexy they are, they’re vitally important to the operation of the
internet as a whole. Luckily, the Linux Foundation realizes this. As
do Google, Facebook, Amazon, and so many others.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.