После обнаружения в апреле 2014 г. уязвимости Heartbleed организация Linux Foundation запустила инициативу Core Infrastructure Initiative (CII) для финансовой помощи и поддержки критически важных проектов Open Source. И теперь, спустя больше года, CII финансирует Census Project, напрямую предназначенный для того, чтобы выявлять и ранжировать потенциально уязвимые проекты Open Source, которым была бы полезна поддержка со стороны CII.
По словам старшего директора Linux Foundation по безопасности инфраструктур Эмили Рэтклиф, занимаясь оценкой нуждающихся в поддержке проектов, в CII поняли, что для точной идентификации тех из них, которым нужна помощь в первую очередь, необходимы определенная методология и глубокая оценка кодовых баз. Благодаря CII финансовую помощь уже получили многие проекты, в том числе OpenSSL, а в июне было объявлено о выделении 452 тыс. долл. на улучшение качества кода трех проектов Open Source.
«Сейчас Census Project быстро автоматизирует сбор и анализ данных по различным проектам с открытым исходным кодом и, основываясь на полученных результатах, выдает в конечном счете балльную оценку рисков каждого проекта, — сообщила Рэтклиф. — Эта программа призвана ускорить принятие решений CII о выделении грантов для оперативного финансирования разработок ПО, наиболее в этом нуждающихся».
Руководящий пост в CII Рэтклиф заняла лишь недавно, и ее задача заключается в том, чтобы направлять дальнейшее продвижение проекта. По ее словам, программа Census рассчитывает оценку рисков проектов Open Source по ряду параметров, включая количество компаний и разработчиков, вносящих вклад в проект, а также ранее обнаруженные уязвимости с присвоенным идентификатором CVE (Common Vulnerabilities and Exposures). Сам расчет оценок рисков тоже реализован как свободный проект, и Рэтклиф надеется, что люди будут предлагать свои улучшения эвристики для его совершенствования.
«Мы собираемся периодически перезапускать Census, чтобы знать, как оценки проектов меняются со временем и какую роль играют изменения в числе участников проекта, в степени популярности проекта и в количестве CVE, — сообщила Рэтклиф. — Мы реально надеемся, что этот проект инициирует диалог вокруг метрик, необходимых для оценки рисков проектов Open Source».
Вместе с тем Census Project не имеет мандата на проведение статического или динамического анализа кода приложений на предмет выявления уязвимостей. CII, по словам Рэтклиф, рассчитывает, что разработчики Open Source делают это самостоятельно, пользуясь соответствующими инструментами для статического и динамического анализа. «Если они занимаются таким анализом, то со временем оценки рисков для них должны уменьшаться», — добавила она.
За последнее десятилетие родилось немало инициатив, помогающих проектам Open Source в статическом анализе кода. Одной из них является программа Coverity Scan, стартовавшая в 2008 г. благодаря гранту от Министерства национальной безопасности США.
Хотя задачей Census Project является помощь в идентификации проектов Open Source, которые нуждаются в поддержке, Рэтклиф отметила, что этот проект не располагает конкретной формулой финансирования, непосредственно коррелированной с оценкой риска. «Все, что касается финансирования, должно предлагаться и одобряться людьми, исходя из реальных нужд проекта, — сказала она. — Цель Census Project состоит в том, чтобы быстро профильтровав проекты, выстроить их в очередь для более глубокой оценки экспертной комиссией CII».
Хотя CII будет финансово помогать проектам в исправлении дефектов и улучшении безопасности, по словам Рэтклиф, CII не планирует вознаграждать исследователей безопасности за обнаружение ошибок через какие-либо конкурсы в формате Bug Bounty. В последние годы программы Bug Bounty приобретают растущую популярность благодаря инициативам многих ИТ-вендоров, включая Yahoo, Google, Mozilla и Facebook.
На предстоящие месяцы, говорит Рэтклиф, у CII есть много дел: «Мы остаемся сфокусированными на нашей миссии по выявлению и поддержке наиболее критичных в мире инфраструктур с открытым исходным кодом. Также мы создаем коллекцию наилучших в плане обеспечения безопасности практик для разработки открытого ПО. Более детальная информация об этом будет предоставлена в ближайшие месяцы», — сказала она.