Sáng kiến Hạ tầng Cốt lõi đào sâu vào an ninh của OpenSSL, OpenSSH, Giao thức Thời gian Mạng

Core Infrastructure Initiative to delve into security of OpenSSL, OpenSSH, Network Time Protocol

CII, được tạo ra từ nền công nghiệp công nghệ sau cuộc khủng hoảng lỗi Heartbleed, có được một vòng mới các thành viên.

CII, formed by tech industry after Heartbleed Bug crisis, gains a new round of members

By Ellen Messmer, Network World, May 29, 2014 12:49 PM ET

Theo: http://www.networkworld.com/news/2014/052914-core-infrastructure-initiative-282018.html

Bài được đưa lên Internet ngày: 29/05/2014

Lời người dịch: “Sáng kiến Hạ tầng Cốt lõi (CII), nỗ lực từng được tạo ra từ vài công ty công nghệ lớn, bao gồm Amazon Web Services, Cisco, Dell, Facebook, Microsoft, và IBM, sau cuộc khủng hoảng Heartbleed vào tháng trước”, nay đã có thêm hàng loạt các công ty tham gia, như Adobe, Bloomberg, HP, Huawei và Salesforce.com. “CII đã quyên góp được hơn 5 triệu USD từ các thành viên sáng lập”, “CII hôm nay cũng nói nó hướng các nỗ lực rà soát lại an ninh của nó vào 2 giao thức khác được sử dụng rộng rãi: OpenSSH và Giao thức Thời gian Mạng - NTP (Network Time Protocol)”. “CII cũng nói nó đã thành lập một ban cố vấn và ban chỉ đạo để nhận diện các dự án nguồn mở “cần được hỗ trợ nhất””. Xem thêm: Không bao giờ để một cuộc khủng hoảng tốt bị bỏ phí: Sáng kiến hạ tầng cốt lõi.

Network World - Quỹ Linux hôm nay đã công bố các giao thức đầu tiên nó muốn giải quyết như một phần của việc kiểm thử và rà soát lại an ninh mã nguồn mở của nó. Không ngạc nhiên, OpenSSL, nơi mà lỗi Heartbleed nổi tiếng đã được phát hiện, là trong số những thứ đó.

Gọi là Sáng kiến Hạ tầng Cốt lõi (CII), nỗ lực từng được tạo ra từ vài công ty công nghệ lớn, bao gồm Amazon Web Services, Cisco, Dell, Facebook, Microsoft, và IBM, sau cuộc khủng hoảng Heartbleed vào tháng trước. Heartbleed từng là chỗ bị tổn thương nghiêm trọng được phát hiện vào tháng trước trong giao thức mã hóa của OpenSSL và sử dụng rộng rãi của nó trong các máy chủ, các mạng và phần mềm máy trạm và các sản phẩm an ninh tạo ra một sự náo loạn toàn cầu để vá chúng và hoán đổi các chứng thực số và thay đổi các mật khẩu.

Bổ sung thêm vào việc cấp vốn cho một kiểm toán mã giao thức OpenSSL, CII hôm nay cũng nói nó hướng các nỗ lực rà soát lại an ninh của nó vào 2 giao thức khác được sử dụng rộng rãi: OpenSSH và Giao thức Thời gian Mạng - NTP (Network Time Protocol). NTP gần đây có được sự chú ý như một nguồn lo ngại vì nó từng bị lạm dụng để tạo ra các cuộc tấn công từ chối dịch vụ.

Nhóm CII không chỉ định việc cấp bao nhiêu vốn đang được phân bổ cho các rà soát lại về an ninh đó, nhưng nói toàn bộ nỗ lực của CII đã quyên góp được hơn 5 triệu USD từ các thành viên sáng lập.

CII có ý định phối hợp với dự án OpenSSL để hỗ trợ cho 2 lập trình viên cốt lõi toàn thời gian. Dự án Kiểm toán Mật mã Mở (Open Crypto Audit Project) cũng được kỳ vọng nhận được sự cấp vốn từ CII để tiến hành một kiểm toán an ninh cho kho mã của OpenSSL.

CII hôm nay cũng tuyên bố Adobe, Bloomberg, HP, Huawei và Salesforce.com là các thành viên mới thêm vào. CII cũng nói nó đã thành lập một ban cố vấn và ban chỉ đạo để nhận diện các dự án nguồn mở “cần được hỗ trợ nhất”.

Các thành viên Ban Cố vấn của CII gồm lập trình viên nhân Linux Alan Cox; Matt Green của Open Crypto Audit Project; Dan Meredith của Radio Free Asia’s Open Technology Fund; Eben Moglen của Software Freedom Law Center; Bruce Schneier của Berkman Center for Internet & Society at Harvard Law School; Eric Sears của MacArthur Foundation; và Ted T’so, một lập trình viên hệ thống tệp ở Google và cộng đồng nhân Linux.

Jim Zemlin, giám đốc điều hành của Quỹ Linux, nói, “Tất cả sự phát triển phần mềm đòi hỏi phần mềm và sự cấp vốn. Phần mềm nguồn mở không là ngoại lệ và đảm bảo một mức độ hỗ trợ song song với vai trò áp đảo mà nó đóng trong việc hỗ trợ hạ tầng thông tin toàn cầu ngày nay”. Ông đã bổ sung thêm mục tiêu của CII là để “chuyển từ các ứng phó có tác động trở lại, hướng khủng hoảng tới một cách thức đo đếm được, chủ động tích cực để nhận diện và cấp vốn cho các dự án cần thiết”, mà CII là một diễn đàn có khả năng để làm điều đó.

Network World - The Linux Foundation today announced the first protocols that it wants to address as part of its open-source code testing and security review. Not surprisingly, OpenSSL, where the infamous Heartbleed bug was discovered, is among them.

Called the Core Infrastructure Initiative (CII), the effort was created by several of the large tech companies, including Amazon Web Services, Cisco, Dell, Facebook, Microsoft, and IBM, in the aftermath of last month’s Heartbleed crisis. Heartbleed was the serious vulnerability revealed last month in the OpenSSL encryption protocol and its widespread use in servers, client software and network and security products set off a global stampede to patch them and swap out digital certificates, in addition to changing passwords.

In addition to funding a code audit of the OpenSSL protocol, CII today also said it’s directing its security review efforts to two other widely-used protocols: OpenSSH and Network Time Protocol (NTP). NTP has recently gained attention as a source of concern because it has been abused to generate denial-of-service attacks.

The CII group isn’t specifying how much funding is being dedicated to these security reviews, but does say the entire CII effort has raised over $5 million from its founding members.

The CII intends to coordinate with the OpenSSL project to assist with two full-time core developers. The Open Crypto Audit Project is also expected to receive funding from CII to conduct a security audit of the OpenSSL code base.

CII today also announced Adobe, Bloomberg, HP, Huawei and Salesforce.com as additional members. CII also says it’s established an advisory board and steering committee to identify open-source projects “most in need of support.”

CII’s Advisory Board members include Linux kernel developer Alan Cox; Matt Green of Open Crypto Audit Project; Dan Meredith of the Radio Free Asia’s Open Technology Fund; Eben Moglen of Software Freedom Law Center; Bruce Schneier of the Berkman Center for Internet & Society at Harvard Law School; Eric Sears of the MacArthur Foundation; and Ted T’so, a file-system developer at Google and the Linux kernel community.

Jim Zemlin, executive director of The Linux Foundation, said, “All software development requires software and funding. Open source software is no exception and warrants a level of support on par with the dominant role it plays supporting today’s global information infrastrcture.” He added the aim of CII is to “move from the reactive, crisis-driven responses to a measured, proactive way to identify and fund those projects that are in need,” adding CII is a forum to be able to do that.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com