Iniciativa de infraestructura básica

La Iniciativa de Infraestructura Básica ( CII ) fue un proyecto de la Fundación Linux para financiar y apoyar proyectos de software libre y de código abierto que son fundamentales para el funcionamiento de Internet y otros sistemas de información importantes. El proyecto se anunció el 24 de abril de 2014 a raíz de Heartbleed , un error de seguridad crítico en OpenSSL que se utiliza en millones de sitios web.

OpenSSL es uno de los primeros proyectos de software financiados por la iniciativa después de que se lo considerara insuficientemente financiado, recibiendo solo alrededor de $2000 por año en donaciones. ^[1] La iniciativa patrocinará a dos desarrolladores de núcleo de OpenSSL a tiempo completo. ^[2] En septiembre de 2014, la Iniciativa ofreció asistencia a Chet Ramey, el mantenedor de bash , después de que se descubriera la vulnerabilidad Shellshock . ^[3]

Desde entonces, la CII ha sido reemplazada por la Open Source Security Foundation . ^[4]

Error de sangrado del corazón

Logotipo que representa a Heartbleed

OpenSSL es una implementación de código abierto de Transport Layer Security (TLS), que permite a cualquiera inspeccionar su código fuente. ^[5] Por ejemplo, lo utilizan los teléfonos inteligentes que ejecutan el sistema operativo Android y algunos enrutadores Wi-Fi , y organizaciones como Amazon.com , Facebook , Netflix , Yahoo !, la Oficina Federal de Investigaciones de los Estados Unidos de América y la Agencia de Ingresos de Canadá . ^[6]

El 7 de abril de 2014, se hizo pública la vulnerabilidad Heartbleed de OpenSSL y se corrigió. ^[7] La ​​vulnerabilidad, que ya se había incluido en la versión actual de OpenSSL durante más de dos años, ^[8] hizo posible que los piratas informáticos obtuvieran información como nombres de usuario , contraseñas y números de tarjetas de crédito de transacciones supuestamente seguras. En ese momento, se creía que aproximadamente el 17% (alrededor de medio millón) de los servidores web seguros de Internet certificados por autoridades de confianza eran vulnerables al ataque. ^[9]

Software de código abierto

Según la ley de Linus , del libro de Raymond La catedral y el bazar , "si hay suficientes ojos, todos los errores son superficiales". ^[10] En otras palabras, si hay suficientes personas trabajando en el software, se encontrará un problema rápidamente y su solución será obvia para alguien. Raymond afirmó en una entrevista que "no había ningún ojo" para el error Heartbleed. ^[6]

Antes de la financiación del CII, sólo una persona, Stephen Henson, trabajaba a tiempo completo en OpenSSL; Henson aprobó más de la mitad de las actualizaciones de más de 450.000 líneas del código fuente de OpenSSL. ^[11] Además de Henson, hay tres programadores voluntarios principales. El Proyecto OpenSSL existía con un presupuesto de 2.000 dólares al año en donaciones, lo que era suficiente para cubrir la factura de la luz, y Steve Henson ganaba alrededor de 20.000 dólares al año. ^[8] Para reunir más ingresos para el proyecto, Steve Marquess, un consultor del Departamento de Defensa, creó la OpenSSL Software Foundation. Esto permitió a los programadores ganar algo de dinero asesorando a las organizaciones que usaban el código. Sin embargo, la fundación recaudaba menos de un millón de dólares al año, ^[6] y el trabajo contratado tendía a centrarse en añadir nuevas características en lugar de mantener las antiguas. ^[8]

Otros proyectos de software de código abierto tienen dificultades similares. Por ejemplo, los encargados del mantenimiento de OpenBSD , un sistema operativo que se preocupa por la seguridad, casi tuvieron que cerrar el proyecto a principios de 2014 porque no podían pagar las facturas de la electricidad. ^[12]

La iniciativa

Jim Zemlin, el director ejecutivo de la Fundación Linux, concibió la idea de la Iniciativa de Infraestructura Central poco después de que se anunciara Heartbleed, y pasó la noche del 23 de abril llamando a empresas para pedir apoyo. ^[13] Trece empresas respondieron y se unieron a la iniciativa: Amazon Web Services , Cisco Systems , Dell , Facebook , Fujitsu , Google , IBM , Intel , Microsoft , NetApp , Rackspace , Qualcomm y VMware . ^{[14] [15]} La lista se determinó principalmente por a quién conocía Zemlin. ^[13] Cada una de las trece empresas se ha comprometido a donar 100.000 dólares al año durante los próximos tres años, lo que eleva el fondo de financiación inicial a casi 4 millones de dólares. ^{[16] [17] [18]} Otras cinco empresas ( Adobe Systems , Bloomberg LP , Hewlett-Packard , Huawei y Salesforce.com ) se han unido desde entonces a la iniciativa. ^[19]

El dinero que el CII reunió se utilizó para financiar tareas específicas, como proporcionar compensación a los desarrolladores para trabajar a tiempo completo en un proyecto de software de código abierto, realizar revisiones y auditorías de seguridad , implementar infraestructura de prueba y facilitar viajes y reuniones cara a cara entre desarrolladores. ^[2]

El CII estaba compuesto por dos órganos, un comité directivo y un consejo asesor. El comité directivo estaba formado por representantes de las empresas miembro y otras partes interesadas de la industria ^{[2] [16]} y el comité estaba a cargo de identificar proyectos de software objetivo y aprobar financiación específica para esos proyectos. El consejo asesor, compuesto por desarrolladores y otras partes interesadas, brindaba asesoramiento al comité directivo. ^[2]

Proyectos apoyados en 2016

La Iniciativa de Infraestructura Básica también invirtió 120.000 USD en educación sobre las buenas prácticas del desarrollo de código abierto, 120.000 USD en análisis de proyectos populares de código abierto y 95.000 USD en auditoría de OpenSSL ^[20].

Referencias

1. "Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware y The Linux Foundation forman una nueva iniciativa para apoyar proyectos críticos de código abierto" (nota de prensa). The Linux Foundation. 24 de abril de 2014. Archivado desde el original el 10 de junio de 2016 . Consultado el 25 de julio de 2016 .
2. "Preguntas frecuentes sobre la Iniciativa de Infraestructura Básica". The Linux Foundation. Archivado desde el original el 14 de abril de 2016 . Consultado el 25 de julio de 2016 .
3. "Los expertos en seguridad esperan que el error de software 'Shellshock' sea significativo". The Times of India . Archivado desde el original el 29 de septiembre de 2014. Consultado el 29 de septiembre de 2014 .
4. "Inicio". Iniciativa de Infraestructura Básica . Consultado el 20 de enero de 2023 .
5. Sullivan, Gail (9 de abril de 2014). «Heartbleed: What you should know». The Washington Post . Archivado desde el original el 9 de mayo de 2014. Consultado el 14 de mayo de 2014 .
6. Perlroth, Nicole (18 de abril de 2014). «Heartbleed destaca una contradicción en la Web». The New York Times . Archivado desde el original el 8 de mayo de 2014. Consultado el 14 de mayo de 2014 .
7. Grubb, Ben (15 de abril de 2014). «Cronología de la divulgación de Heartbleed: quién sabía qué y cuándo». The Sydney Morning Herald . Archivado desde el original el 25 de noviembre de 2014. Consultado el 14 de mayo de 2014 .
8. Stokel-Walker, Chris (25 de abril de 2014). «Internet está siendo protegida por dos tipos llamados Steve». BuzzFeed . Archivado desde el original el 15 de mayo de 2014 . Consultado el 15 de mayo de 2014 .
9. Mutton, Paul (8 de abril de 2014). «Medio millón de sitios web de amplia confianza vulnerables al error Heartbleed». Netcraft Ltd. Archivado desde el original el 19 de noviembre de 2014. Consultado el 22 de mayo de 2014 .
10. Young, Eric S. Raymond; con prólogo de Bob (2008). The Cathedral & the Bazaar Reflexiones sobre Linux y código abierto de un revolucionario accidental (2.ª ed.). Sebastopol: O'Reilly Media, Inc. pág. 30. ISBN 978-0596553968.{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace )
11. Babbage (6 de mayo de 2014). «A un paso del desastre». The Economist . Archivado desde el original el 15 de mayo de 2014. Consultado el 15 de mayo de 2014 .
12. Finley, Klint (22 de enero de 2014). «Bitcoin Baron mantiene vivo un sistema operativo secreto de código abierto». Wired . Archivado desde el original el 11 de mayo de 2014. Consultado el 15 de mayo de 2014 .
13. Rosenblatt, Seth (24 de abril de 2014). "Los titanes de la tecnología unen fuerzas para detener el próximo Heartbleed". CNET . Archivado desde el original el 17 de mayo de 2014. Consultado el 15 de mayo de 2014 .
14. "Core Infrastructure Initiative". The Linux Foundation. Archivado desde el original el 10 de septiembre de 2016. Consultado el 25 de julio de 2016 .
15. Finley, Klint (24 de abril de 2014). «Twitter Facebook RSS Google, Facebook y Microsoft se unen para detener otro Heartbleed». Wired . Archivado desde el original el 14 de mayo de 2014. Consultado el 15 de mayo de 2014 .
16. Perlroth, Nicole (24 de abril de 2014). «Compañías respaldan iniciativa para apoyar OpenSSL y otros proyectos de código abierto». Bits . The New York Times. Archivado desde el original el 30 de abril de 2014 . Consultado el 29 de abril de 2014 .
17. Vaughan-Nichols, Steven J. (24 de abril de 2014). «Cisco, Microsoft, VMware y otros gigantes tecnológicos se unen en pos de proyectos críticos de código abierto». ZDNet . Archivado desde el original el 27 de abril de 2014. Consultado el 29 de abril de 2014 .
18. Warren, Christina (24 de abril de 2014). «Facebook, Google y Microsoft unen fuerzas para prevenir otro Heartbleed». Mashable . Archivado desde el original el 29 de abril de 2014 . Consultado el 29 de abril de 2014 .
19. "La Iniciativa de Infraestructura Central de la Fundación Linux anuncia nuevos patrocinadores, primeros proyectos que recibirán apoyo y miembros del Consejo Asesor" (Comunicado de prensa). The Linux Foundation. 29 de mayo de 2014. Archivado desde el original el 11 de julio de 2017. Consultado el 23 de junio de 2014 .
20. "Informe anual 2016 de la Iniciativa de Infraestructura Básica" (PDF) . La Iniciativa de Infraestructura Básica. Archivado desde el original el 6 de noviembre de 2017 . Consultado el 14 de abril de 2017 .

Enlaces externos

• Sitio web oficial