Три инфраструктурных Open Source-проекта получили 450 тысяч USD в рамках CII от Linux Foundation

Организация Linux Foundation, создавшая в прошлом году инициативу Core Infrastructure Initiative (CII) для поддержки важных инфраструктурных Open Source-проектов, объявила о распределении более 450 тысяч USD между тремя проектами.

Логотип Core Infrastructure Initiative / Иллюстрация с сайта linuxfoundation.org

За небольшое время существования CII уже удалось собрать не один миллион USD благодаря финансовой поддержке крупных компаний, напрямую заинтересованных в стабильной работе и развитии свободного программного обеспечения для ИТ-инфраструктуры. К ним относятся Amazon Web Services, Adobe, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, Hitachi, HP, Huawei, IBM, Intel, Microsoft, NetApp, NEC, Qualcomm, RackSpace, salesforce.com и VMware.

Вчера стало известно, что очередные средства от CII получат три проекта. Первый — Reproducible Builds — проект сообщества Debian, цель которого емко формулируется так: «Должна быть возможность воспроизвести, вплоть до каждого байта, каждую сборку каждого пакета в Debian». Эта задача актуальна для того, чтобы предоставить любому пользователю простую возможность полностью повторно собрать нужный пакет из исходников и, получив результат, сверить его с имеющейся бинарной сборкой в репозитории дистрибутива. Авторы Reproducible Builds (Holger Levsen и J?r?my Bobbio) получили 200 тысяч USD, чтобы реализовать задуманное и предоставить инструменты не только для Debian, но и других дистрибутивов GNU/Linux, среди которых упоминаются Fedora, Ubuntu и OpenWrt.

Второй проект — The Fuzzing Project — реализует одноимённый метод обнаружения проблем в безопасности программного обеспечения. Его автор (Hanno B?ck) уже обнаружил баги в GnuPG и OpenSSL, а теперь получит 60 тысяч USD на курирование работы по дальнейшему поиску уязвимостей. Сам метод заключается в генерировании большого числа случайных данных, передаче их на вход программному обеспечению и анализу результатов.

Третьим проектом — False-Positive-Free Testing — руководит Pascal Cuoq, учёный и соучредитель компании TrustInSoft, применяющей платформу Frama-C для поиска уязвимостей в программном обеспечении. С помощью гранта в размере 192 тысяч USD специалисты разработают инструмент TIS Interpreter (на основе коммерческого TIS Analyzer), который позволит определять баги с ошибочным допуском (false positive) в коде Open Source-проектов. Предполагается, что первое тестирование будет проводиться на библиотеке OpenSSL с помощью American Fuzzy Lop.

Одновременно объявлено, что директором по инфраструктурной безопасности в Core Infrastructure Initiative (CII) стала Эмили Рэтлифф (Emily Ratliff), которая имеет более 20 лет опыта работы в области Linux и ИТ-безопасности (последнее место — инженер по безопасности в AMD).

Дмитрий Шурупов по материалам linuxfoundation.org.