Linux Foundation
Core Infrastruktur Initiativ prosjektet på tirsdag annonsert en gratis merke program for å bidra til å fremme sikkerhet, kvalitet og stabilitet i åpen kildekode-prosjekter.
Gjennom en online-app, CII lar utviklere å avgjøre om de beste løsningene, vanligvis innen en time eller så.
Hvis de er, de vil motta utmerkelsen, som de kan vise på GitHub og andre elektroniske egenskaper.
Den pågående utviklingen av appen og kriteriene er et open source prosjekt som utviklere kan bidra med.
Curl, GitLab, Linux-Kjernen og OpenSSL er blant de prosjekter som allerede har fått merke.
Omfatter OpenSSL
Vederlag for merket nå omfatter en vurdering av OpenSSL, programvaren som brukes av open source Web-servere, som Nginx og Apache, som er vert for mer enn 60 prosent av verdens nettsteder.
At utbredt bruk laget hundrevis av tusenvis av nettsteder som er sårbare for de Heartbleed
OpenSSL feil, og mange store severdigheter, inkludert Yahoo, var venstre desperat etter en løsning.
Feilen, oppdaget April 2014, som følge av et mindre programmeringsfeil laget av en Ph. D. student. Den ble etterfulgt av en annen feil i juli 2015.
De sårbarheter som var et resultat av mangel på finansiering og den lille størrelsen av OpenSSL-teamet, i henhold til OpenSSL Foundation president Steve Marki.
Men “all programvare har sikkerhetsproblemer,” bemerket Josh Bressers, sikkerhet, strateg i Red Hat.
Bruk av OpenSSL i nettsteder
har vært å stige jevnt nedover siden 2015.
Før Heartland rammet, OpenSSL møtte bare om lag en tredjedel av CII-Best Practices Merket kriterier, i henhold til Linux Foundation, men det er nå en perfekt score 100 prosent.
Merket Innvirkning
Merket er en måte å erkjenne den utrolig viktige bidrag åpen kildekode programmerere lage til fellesskapet, sa Red Hat er Bressers.
“Det bør i det minste generere leksjoner som kan brukes i fremtiden,” fortalte han LinuxInsider.
“En ‘God Rengjøring seal’ er en god analogi,” bemerket Chenxi Wang, chief strategy officer i
Twistlock.
“Er det ikke helt si ‘sårbarhet gratis, men det gir en generell følelse av trygghet og sikkerhet for at programvaren i det minste har gått gjennom noen standard sjekker og praksis gir ingen garantier,” fortalte hun LinuxInsider.
Problemer Med Åpen Kildekode
“Jeg har en mistanke om programvare med åpen kildekode er ikke bedre eller verre enn [proprietær] programvare i form av sikkerhetshull,” Wang foreslått. “Vi høre mer om åpen kildekode feil, fordi de har en tendens til å være publikum i form av offentliggjøring av sikkerhetsproblemer.”
Problemet med programvare med åpen kildekode er at det har ingen fast standard som til sikkerhet nivåer for å teste å, sa Holger Mueller, rektor analytiker i Konstellasjonen Forskning.
Merket prosess “er et godt første skritt for å få flere open source initiativ til å starte å vedta noen grunnleggende og avansert sikkerhet protokoller,” fortalte han LinuxInsider.
Det er for tiden noen måter å måle et open source-prosjekt objektivt, Red Hat er Bressers påpekt. “Hvis dette prosjektet klarer å skape et samfunn hvor vi kan nøyaktig og lett å forstå nivå av sikkerhet for et gitt prosjekt, som ville være gode nyheter for alle, spesielt for de prosjekter som sette innsats inn i å tjene en positiv vurdering.”
En av de store utfordringene åpen kildekode i dag er “å være i stand til å forstå og kontrollere verdikjeden i din utvikling og avhengigheter,” forklarte han. “Ideelt sett [merket prosjektet] vil hjelpe til med det.”
Standarden satt for tildeling av utmerkelsen er rimelig, slik at “det vil raskt bli forespurt av åpen kildekode forbrukere,” Konstellasjonen er Mueller spådd. “Vi bør ikke bli overrasket over å se utbredt adopsjon.”
Selv om det er for tidlig å si om det kan ende opp med å bli en de facto standard, bred interesse og bifall av flere prosjekter “er et godt tegn,” sa han.
Å Arbeide Sammen
Standarder wars gjentatte ganger har brutt ut i proprietær programvare feltet, og hvis standarder rivalisering skulle dukke opp for åpen kilde, som ville være dårlig, Mueller tenkte.
Generelt er det imidlertid, sikkerhet samfunnet har vært arbeidet godt sammen, han bemerket. Heller enn å konkurrere, forskere har blitt lagene på toppen av hverandre og utfyller hverandres arbeid.
“I enda flere samarbeidende åpen kildekode økosystem,” sa Mueller, “jeg ville bli overrasket over å se en annen tilnærming.”
Richard Adhikari har skrevet om high-tech for ledende publikasjoner siden 1990-tallet og under der det er alle fører til. Vil det RFID-chips i mennesker være Dyrets Merke? Vil nanotech løse våre kommende mat krise? Gjør Stør ‘ s Lov fortsatt holder sant? Du kan koble til med Richard på
Google+.