Google, Facebook, và Microsoft cùng lập đội để ngăn chặn Heartbleed khác

Google, Facebook, and Microsoft Team Up to Stop Another Heartbleed

By Klint Finley, 04.24.14

Theo: http://www.wired.com/2014/04/cii/?mbid=social_fb

Bài được đưa lên Internet ngày: 24/04/2014

Lời người dịch: Sau sự cố đình đám lỗi Heartbleed của OpenSSL, Quỹ Linux và nhiều công ty đã nhận thức được tầm quan trọng của các PMNM như vậy, và Quỹ Linux đã thành lập ra tổ chức Sáng kiến Hạ tầng Cốt lõi (Core Infrastructure Initiative) để gây quỹ tài trợ cho các dự án PMNM như OpenSSL và các dự án PMNM quan trọng khác. Cho tới nay, các công ty “từ Google và Facebook tới Amazon, Cisco, Dell, Fujitsu, IBM, Intel, Rackspec và Microsoft” đã cam kết góp 3.6 triệu USD cho tổ chứ này.

Tồn tại không được dò tìm ra trong 2 năm, lỗi Heartbleed đã đe dọa hé lộ một số thông tin nhạy cảm nhất của chúng ta. Sau khi các nhà nghiên cứu cuối cùng đã nhận diện ra lỗi đầu tháng trước, hầu hết các website chính đã vá lỗi này ở dạng mã hóa trực tuyến phổ biến, nhưng một trong những câu hỏi vẫn còn: làm thế nào chúng ta có thể ngăn chặn được dạng này lỗi khỏi xảy ra một lần nữa?

Lỗi đó có liên quan tới một mẩu phần mềm nguồn mở (PMNM) gọi là OpenSSL, nó từng được sử dụng với số lượng lớn các site để đảm bảo an ninh cho các dữ liệu người sử dụng giống như các mật khẩu và thông tin thẻ tín dụng. Một vấn đề lớn là OpenSSL được một đội chỉ 4 lập trình viên quản lý, và chỉ một trong số họ làm việc toàn thời gian cho dự án. Điều này có nghĩa là họ có thời gian hạn chế để kiểm thử và kiểm toán và làm cho mã nguồn dự án tuyệt vời, và vấn đề đó không giới hạn cho OpenSSL. Trong khi các dự án nguồn mở như Linux, máy chủ web Apache, và trình duyệt web Firefox nhận được số lượng lớn cấp vốn và các đóng góp từ những người ủng hộ là các công ty, thì nhiều mẫu nhỏ nhưng sống còn của PMNM lại nhận được ít tiền và sự chú ý hơn nhiều.

Nhưng hôm thứ năm, được ủng hộ từ Google và Facebook, Quỹ Linux đã công bố nó sẽ tham gia và sửa lỗi lớn này, khi thành lập một tổ chức gọi là Sáng kiến Hạ tầng Cốt lõi (Core Infrastructure Initiative). Nhóm phi lợi nhuận này sẽ cung cấp vốn cho một số dự án quan trọng nhất của mạng, cho phép các lập trình viên chính làm việc trong các dự án toàn thời gian, nhưng cũng bào mòn trong kiểm toán an ninh, kiểm thử hạ tầng, các chi tiêu đi lại và các hỗ trợ khác.

“Sau khủng hoảng Heartbleed chúng tôi đã tự hỏi: Làm thế nào điều này đã xảy ra và đâu là vai trò mà Quỹ Linux có thể đóng để đảm bảo nó không xảy ra một lần nữa?” Amanda McPherson, giám đốc marketing của Quỹ Linux nói. “Chúng tôi đã quyết định làm những gì chúng tôi luôn làm: làm việc với giới công nghiệp để gây vốn tiền và cấp vốn cho các lập trình viên trực tiếp sao cho họ có thể làm những gì họ làm tốt nhất, phát triển, trong khi chúng tôi trao cho họ sự hỗ trợ theo cách mà Linus Torvalds làm”.

Những người ủng hộ sáng kiến đó bao gồm các công ty công nghệ: từ Google và Facebook tới Amazon, Cisco, Dell, Fujitsu, IBM, Intel, Rackspec và Microsoft. McPherson nói tổ chức đó có cam kết 3.6 triệu USD rồi từ những người ủng hộ, và nó kỳ vọng lượng đó sẽ gia tăng khi nhiều công ty hơn ra nhập. Quỹ đó sẽ quản trị các vốn sáng kiến mới đó, và những người ủng hộ tổ chức và các bên tham gia đóng góp khác từ cộng đồng nguồn mở sẽ thành lập ban chỉ đạo và ban cố vấn mà sẽ lựa chọn các dự án để nhận vốn cấp. OpenSSL là dự án đầu tiên mà sáng kiến đang cân nhắc cấp vốn, nhưng các dự án khác cũng sẽ được cân nhắc.

Quỹ Linux đặc biệt là phù hợp để hỗ trợ các dự án như OpenSSL. Quỹ này là một nhóm phi lợi nhuận gồm hơn 100 thành viên doanh nghiệp dựa vào hệ điều hành Linux nguồn mở theo một số cách thức, bao gồm Intel, IBM và HP. Quỹ trả tiền cho người tạo ra nhân Linux Linus Torvalds và các lập trình viên chủ chốt, và nó hành động như một người quản gia chung cho cộng đồng và thương hiệu Linux.

Tuy nhiên, câu hỏi lớn đối với nhiều người, vì sao các dự án như OpenSSL không được cấp vốn tốt để bắt đầu. Một phần của vấn đề là nhiều ứng dụng nguồn mở phụ thuộc vào các thư viện mã được phát triển xuyên nhiều đội khác nhau. Điều đó có nghĩa là nếu bạn tài trợ tiền cho một đội lập trình, ví dụ, một máy chủ web nguồn mở, thì tiền đó có thể không lan ra cho từng lập trình viên đơn lẻ mà đang đóng góp mã đang được sử dụng trong dự án.

“Tôi nghĩ rằng vì mọi người thấy và sời được Linux, và họ thấy và sờ được các trình duyệt của chúng, nhưng những người sử dụng không bao giờ thấy và sờ được một thư viện mật mã”, Steve Marquess, một trong những đối tác sáng lập ra OpenSSL, đã nói cho chúng tôi đầu tháng này. Nhưng thậm chí các dự án nguồn mở tên tuổi lớn đôi khi cũng có vấn đề về gây vốn phù hợp. Ví dụ, hệ điều hành nổi tiếng an ninh OpenBSD - được sử dụng trong nhiều sản phẩm thương mại, như các tường lửa - gần như phải đóng cửa hàng vào năm ngoái vì thiếu vốn.

Vấn đề đó có thể rằng các dự án đó chỉ không lôi cuốn. Tuy nhiên làm sao chúng lại không lôi cuốn, chúng là quan trọng sống còn cho hoạt động của Internet như một tổng thể. May thay, Quỹ Linux nhận thức được điều này. Như Google, Facebook, Amazon, và nhiều công ty khác đang nhận ra.

Going undetected for a good two years, the Heartbleed bug threatened to reveal some of our most sensitive information. After researchers finally identified the bug earlier this month, most major websites have patched this flaw in a popular form of online encryption, but one big question still remains: How we can prevent this kind of thing from happening again?

The bug involved a piece of open source software called OpenSSL, which was used by a mind-boggling number of sites to secure user data like passwords and credit card information. One big problem is that OpenSSL is run by a team of just four developers, and only one of them works on the project full-time. This means they have limited time to test and audit and perfect the project’s code, and the problem isn’t limited to OpenSSL. While open source projects like Linux, the Apache web server, and the Firefox web browser receive large amounts of funding and contributions from corporate backers, many small but critical pieces of open source software receive much less money and attention.

But on Thursday, backed by the likes of Google and Facebook, the Linux Foundation announced it will take a shot at fixing this enormous problem, founding a new organization called Core Infrastructure Initiative. This non-profit consortium will provide funding for some of the net’s most important projects, letting key developers work on the projects full-time, but also chipping in for security audits, test infrastructure, travel expenses, and other support.

“After the Heartbleed crisis we asked ourselves: How did this happen and what role can The Linux Foundation play to be sure it doesn’t happen again?” says Amanda McPherson, the chief marketing officer of The Linux Foundation. “We decided to do what we always do: work with the industry to raise money and fund developers directly so they can do what they do best, develop, while we give them the assistance the way we do Linus Torvalds.”

The initiative’s backers include a who’s who of tech: from Google and Facebook to Amazon, Cisco, Dell, Fujitsu, IBM, Intel, Rackspace and Microsoft. McPherson says the organization already has a $3.6 million commitment from its backers, and it expects that amount to grow as more companies join. The foundation will administer the new initiative’s funds, and the organization’s backers and other stakeholders from the open source community will form a steering committee and advisory board that will select the projects to receive funds. OpenSSL is the first project that the initiative is considering funding, but other projects will be considered as well.

The Linux Foundation is particularly well suited to take on projects like OpenSSL. The foundation is a non-profit consortium consisting of over 100 corporate members that rely on the open source Linux operating system in some way, including Intel, IBM and HP. The foundation pays Linux kernel creator Linus Torvalds and other key developers, and it acts as a general steward for the Linux brand and community.

The big question for many, however, is why projects like OpenSSL aren’t well funded to begin with. Part of the problem is that many open source applications depend on libraries of code developed across many different teams. That means that if you donate money to a team developing, say, an open source web server, that money might not get spread around to every single developer that’s contributing code that ends up being used in the project.

“I think that is because people see and touch Linux, and they see and touch their browsers, but users never see and touch a cryptographic library,” Steve Marquess, one of the OpenSSL foundation’s partners, told us earlier this month. But even big-name open source projects sometimes have trouble raising adequate funds. For example, the security-conscious operating system OpenBSD — used in many commercial products, such as firewalls — nearly had to close-up shop last year due to lack of funds.

The issue may be that these projects just aren’t that sexy. But however unsexy they are, they’re vitally important to the operation of the internet as a whole. Luckily, the Linux Foundation realizes this. As do Google, Facebook, Amazon, and so many others.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com