OpenSSL krijgt grote audit met geld van IT-industrie

Twaalf IT bedrijven financieren de eerste audit van OpenSSL, uitgevoerd door The Core Infrastructure Initiative van de Linux Foundation. 

The Core Infrastructure Initiative valt onder de Linux Foundation. 12 grote IT-bedrijven – Dell, Amazon, Microsoft, IBM, Intel, Google, Cisco,  VMWare, Rackspace, Fujtisu, NetApp en Facebook, steken hier elk jaarlijks 100.000 dollar in, naar aanleiding van de Heartbleed-bug. Die maakte duidelijk dat er flink geïnvesteerd moet worden in de open source technologie, die immers volop gebruikt wordt in hun eigen producten. De Linux Foundation moest het jarenlang doen met rond de 2000 dollar per jaar aan donaties voor het OpenSSL-project en draaide volledig op vrijwilligers. De fout die de oorzaak was van de Heartbleed-bug werd bijvoorbeeld niet ontdekt door een groot gebrek aan mensen en geld in de testfase.

De audit wordt uitgevoerd door Cryptography Services. Daarbij wordt vooral gekeken naar de TLS-stacks. De Open SSL-gemeenschap heeft al veel voorbereidingen gedaan voor de audit, onder meer door meer medewerkers aan te trekken en door de herformattering van de code van OpenSSL, waardoor die makkelijker te onderhouden is. De audit zal zeker enkele maanden in beslag nemen.