Linux基金會(huì)今天警告稱，由于維護(hù)不善，互聯(lián)網(wǎng)的開源基礎(chǔ)設(shè)施正在崩潰。Linux基金會(huì)首席技術(shù)官Nicko van Someren表示，低收入的開發(fā)人員正在努力修補(bǔ)危險(xiǎn)的錯(cuò)誤，并保持網(wǎng)絡(luò)的開放性方面是最新的，這是“互聯(lián)網(wǎng)的道路和橋梁”的開源。

van Someren在歐洲云博覽會(huì)上發(fā)言時(shí)告訴與會(huì)代表：“構(gòu)成互聯(lián)網(wǎng)道路和橋梁的這些軟件實(shí)際上是相當(dāng)古老的基礎(chǔ)設(shè)施，并不一定被那么多人看到。“我們的橋梁和道路正在崩潰，因?yàn)槲覀儧]有花足夠的時(shí)間，精力和金錢來照顧這些基礎(chǔ)設(shè)施。”

他給出的一個(gè)例子是開發(fā)人員維護(hù)加密工具OpenSSL在2014年只收到2000美元的捐款，OpenSSL軟件基金會(huì)嘲笑這個(gè)“遠(yuǎn)遠(yuǎn)不足以”支付人們正確管理代碼的費(fèi)用。

van Someren補(bǔ)充說，直到最近，NTP工程師預(yù)計(jì)每年只能賺25,000美元。CTO警告說，這種投資不足導(dǎo)致像Poodle，Bash和Heartbleed這樣的破壞性蟲子擴(kuò)散。“我們有這個(gè)偉大的社區(qū)建設(shè)這些東西，但一旦他們建成他們經(jīng)常坐在那里他們崩潰，沒有人做維護(hù)工作，”他說。

針對OpenSSL漏洞的Heartbleed成為開源工程師的“警鐘”，van Someren認(rèn)為，領(lǐng)導(dǎo)Linux基金會(huì)推出核心基礎(chǔ)設(shè)施計(jì)劃作為回應(yīng)。“我們說'我們必須對此做點(diǎn)什么'，”他告訴與會(huì)代表。隨著像谷歌這樣的20家領(lǐng)先科技巨頭簽約，CII尋求合作解決開源漏洞，計(jì)劃簽署像銀行和公共機(jī)構(gòu)這樣依賴開源軟件的非技術(shù)公司。

Linux基金會(huì)還確定了它想要在CII之外解決的四個(gè)關(guān)鍵方案。首先是確定面臨崩潰風(fēng)險(xiǎn)的開源項(xiàng)目。

“我們參與了一個(gè)人口普查項(xiàng)目，找到了開源項(xiàng)目，并嘗試找出存在風(fēng)險(xiǎn)的項(xiàng)目。識別復(fù)雜的代碼，是否維護(hù)良好，是否有人員維護(hù)它，項(xiàng)目是否響應(yīng)報(bào)告給他們的安全漏洞，他們是否有適當(dāng)?shù)耐{模型，以及他們?nèi)绾翁幚戆踩缘奈臋n過程，“范梅倫說。

第二個(gè)是Linux基金會(huì)計(jì)劃引入的徽章計(jì)劃，以證明開源項(xiàng)目是安全的，而第三個(gè)將看到基金會(huì)試圖教育開發(fā)人員在組合他們的代碼時(shí)遵守更安全的實(shí)踐的價(jià)值。

最后，Linux基金會(huì)將構(gòu)建“我們可以免費(fèi)向開發(fā)人員提供的共享工具和資源”，van Someren說。