Open-Source soll sicherer werden

Nach dem Heartbleed-Schock im letzten Jahr, bei der ein Softwareloch die verbreitete OpenSSL-Verschlüsselung aushebelte, hat sich die Gruppe Core Infrastructure Initiative (CII) zum Ziel gesetzt, die Open-Source-Welt vor einem weiteren ähnlichen Security-Debakel zu schützen. Demnächst soll die Gruppe eine Liste von Open-Source-Projekten nennen, bei denen speziell nach Software-Bugs gefahndet werden soll. Um die «Kammerjäger» auch anständig zu entlöhnen, sollen für die nächsten drei Jahre 2 Millionen Dollar zu Verfügung gestellt werden. Die Firmen seien «tief besorgt» darüber, dass eine Heartbleed-ähnliche Lücke wieder auftauchen könnte, erklärt Jim Zemlin von der Linux Foundation, welche die Verantwortung für den CII-Effort hat. Und der Einsatz soll sich lohnen, hofft Zemlin. «Im Vergleich zu den hunderten Millionen Dollar, die das Stopfen einer Zero-Day-Lücke kostet, wenn sie erst einmal bekannt wird, ist das Geld, das wir präventiv ausgeben wollen, ein Klacks», argumentiert er. Zemlin scheint mit seiner Meinung nicht alleine dazustehen: Die CII wird von zahlreichen Branchenschwergewichten unterstützt, so von Amazon, Adobe, Cisco, Dell, Facebook, Fujitsu, Google, HP, Hitachi, Huawei, IBM, Intel, Microsoft, NEC, NetApp, Qualcomm, Rackspace, Salesforce und VMware.