Core
Infrastructure Initiative to delve into security of OpenSSL, OpenSSH,
Network Time Protocol
CII,
được tạo ra từ nền công nghiệp công nghệ sau cuộc
khủng hoảng lỗi Heartbleed, có được một vòng mới các
thành viên.
CII,
formed by tech industry after Heartbleed Bug crisis, gains a new
round of members
By
Ellen Messmer, Network World, May 29, 2014 12:49 PM ET
Bài
được đưa lên Internet ngày: 29/05/2014
Lời
người dịch: “Sáng kiến Hạ tầng Cốt lõi (CII), nỗ
lực từng được tạo ra từ vài công ty công nghệ lớn,
bao gồm Amazon Web Services, Cisco, Dell, Facebook, Microsoft, và
IBM, sau cuộc khủng hoảng Heartbleed vào tháng trước”,
nay đã có thêm hàng loạt các công ty tham gia, như Adobe,
Bloomberg, HP, Huawei và Salesforce.com. “CII đã quyên góp
được hơn 5 triệu USD từ các thành viên sáng lập”,
“CII hôm nay cũng nói nó hướng các nỗ lực rà soát lại
an ninh của nó vào 2 giao thức khác được sử dụng rộng
rãi: OpenSSH và Giao thức Thời gian Mạng - NTP (Network Time
Protocol)”. “CII cũng nói nó đã thành lập một ban cố
vấn và ban chỉ đạo để nhận diện các dự án nguồn
mở “cần được hỗ trợ nhất””. Xem thêm: Không
bao giờ để một cuộc khủng hoảng tốt bị bỏ phí:
Sáng kiến hạ tầng cốt lõi.
Network
World - Quỹ Linux hôm nay đã công bố các giao thức đầu
tiên nó muốn giải quyết như một phần của việc kiểm
thử và rà soát lại an ninh mã nguồn mở của nó. Không
ngạc nhiên, OpenSSL, nơi mà lỗi Heartbleed nổi tiếng đã
được phát hiện, là trong số những thứ đó.
Gọi
là Sáng kiến Hạ tầng Cốt lõi (CII), nỗ lực từng được
tạo ra từ vài công ty công nghệ lớn, bao gồm Amazon Web
Services, Cisco, Dell, Facebook, Microsoft, và IBM, sau cuộc khủng
hoảng Heartbleed vào tháng trước. Heartbleed từng là chỗ
bị tổn thương nghiêm trọng được phát hiện vào tháng
trước trong giao thức mã hóa của OpenSSL và sử dụng
rộng rãi của nó trong các máy chủ, các mạng và phần
mềm máy trạm và các sản phẩm an ninh tạo ra một sự
náo loạn toàn cầu để vá chúng và hoán đổi các chứng
thực số và thay đổi các mật khẩu.
Bổ
sung thêm vào việc cấp vốn cho một kiểm toán mã giao
thức OpenSSL, CII hôm nay cũng nói nó hướng các nỗ lực
rà soát lại an ninh của nó vào 2 giao thức khác được
sử dụng rộng rãi: OpenSSH và Giao thức Thời gian Mạng -
NTP (Network Time Protocol). NTP gần đây có được sự chú ý
như một nguồn lo ngại vì nó từng bị lạm dụng để
tạo ra các cuộc tấn
công từ chối dịch vụ.
Nhóm
CII không chỉ định việc cấp bao nhiêu vốn đang được
phân bổ cho các rà soát lại về an ninh đó, nhưng nói
toàn bộ nỗ lực của CII đã quyên góp được hơn 5
triệu USD từ các thành viên sáng lập.
CII
có ý định phối hợp với dự án OpenSSL để hỗ trợ
cho 2 lập trình viên cốt lõi toàn thời gian. Dự án Kiểm
toán Mật mã Mở (Open Crypto Audit Project) cũng được kỳ
vọng nhận được sự cấp vốn từ CII để tiến hành
một kiểm toán an ninh cho kho mã của OpenSSL.
CII
hôm nay cũng tuyên bố Adobe, Bloomberg, HP, Huawei và
Salesforce.com là các thành viên mới thêm vào. CII cũng nói
nó đã thành lập một ban cố vấn và ban chỉ đạo để
nhận diện các dự án nguồn mở “cần được hỗ trợ
nhất”.
Các
thành viên Ban Cố vấn của CII gồm lập trình viên nhân
Linux Alan Cox; Matt Green của Open Crypto Audit Project; Dan
Meredith của Radio Free Asia’s Open Technology Fund; Eben Moglen
của Software Freedom Law Center; Bruce Schneier của Berkman
Center for Internet & Society at Harvard Law School; Eric Sears
của MacArthur Foundation; và Ted T’so, một lập trình viên
hệ thống tệp ở Google và cộng đồng nhân Linux.
Jim
Zemlin, giám đốc điều hành của Quỹ Linux, nói, “Tất
cả sự phát triển phần mềm đòi hỏi phần mềm và sự
cấp vốn. Phần mềm nguồn mở không là ngoại lệ và
đảm bảo một mức độ hỗ trợ song song với vai trò áp
đảo mà nó đóng trong việc hỗ trợ hạ tầng thông tin
toàn cầu ngày nay”. Ông đã bổ sung thêm mục tiêu của
CII là để “chuyển từ các ứng phó có tác động trở
lại, hướng khủng hoảng tới một cách thức đo đếm
được, chủ động tích cực để nhận diện và cấp vốn
cho các dự án cần thiết”, mà CII là một diễn đàn có
khả năng để làm điều đó.
Network
World - The Linux Foundation today announced the first protocols that
it wants to address as part of its open-source code testing and
security review. Not surprisingly, OpenSSL, where the infamous
Heartbleed bug was discovered, is among them.
Called
the Core Infrastructure Initiative (CII), the effort was created by
several of the large tech companies, including Amazon Web Services,
Cisco, Dell, Facebook, Microsoft, and IBM, in the aftermath of last
month’s Heartbleed crisis. Heartbleed was the serious vulnerability
revealed last month in the OpenSSL encryption protocol and its
widespread use in servers, client software and network and security
products set off a global stampede to patch them and swap out digital
certificates, in addition to changing passwords.
In
addition to funding a code audit of the OpenSSL protocol, CII today
also said it’s directing its security review efforts to two other
widely-used protocols: OpenSSH and Network Time Protocol (NTP). NTP
has recently gained attention as a source of concern because it has
been abused to generate denial-of-service
attacks.
The
CII group isn’t specifying how much funding is being dedicated to
these security reviews, but does say the entire CII effort has raised
over $5 million from its founding members.
The
CII intends to coordinate with the OpenSSL project to assist with
two full-time core developers. The Open Crypto Audit Project is also
expected to receive funding from CII to conduct a security audit of
the OpenSSL code base.
CII
today also announced Adobe, Bloomberg, HP, Huawei and Salesforce.com
as additional members. CII also says it’s established an advisory
board and steering committee to identify open-source projects “most
in need of support.”
CII’s
Advisory Board members include Linux kernel developer Alan Cox; Matt
Green of Open Crypto Audit Project; Dan Meredith of the Radio Free
Asia’s Open Technology Fund; Eben Moglen of Software Freedom Law
Center; Bruce Schneier of the Berkman Center for Internet &
Society at Harvard Law School; Eric Sears of the MacArthur
Foundation; and Ted T’so, a file-system developer at Google and the
Linux kernel community.
Jim
Zemlin, executive director of The Linux Foundation, said, “All
software development requires software and funding. Open source
software is no exception and warrants a level of support on par with
the dominant role it plays supporting today’s global information
infrastrcture.” He added the aim of CII is to “move from the
reactive, crisis-driven responses to a measured, proactive way to
identify and fund those projects that are in need,” adding CII is a
forum to be able to do that.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.