Empresas de tecnologia se unem à Linux Foundation para melhorar segurança

Foto:Shutterstock/asharkyu

Evitar que novos desastres de segurança como o Heartbleed aconteçam é a iniciativa do recém-formado Core Infrastructure Initiative (CII). O grupo, que reúne algumas das principais empresas de tecnologia do mundo, tem como objetivo explorar os sistemas de código aberto e permitir que seus desenvolvedores trabalhem neles diretamente, recebendo incentivo financeiro para isso.

O projeto é liderado pela Linux Foundation e conta com o apoio de grandes empresas. A lista é grande e inclui gente grande como a Microsoft, Facebook, Google, Amazon, Dell, IBM, Intel e Fujitsu, apenas para citar algumas. Todas acabaram afetadas, de uma forma ou de outra, pelo bug Heartbleed e, agora, querem se certificar de que algo assim não acontecerá novamente.

Um dos principais motivos apontados para a existência da falha, que estava presente (e possivelmente sendo explorada) por dois anos antes de sua descoberta, é justamente o fato do OpenSSL ser uma solução de código aberto. Criado por um grupo de quatro programadores, o sistema acabou sendo usado em boa parte dos sistemas de segurança online. Apesar da grande aceitação do OpenSSL, os responsáveis por ele não tinham tempo suficiente para realizar os testes e auditorias necessárias para algo de uso tão consolidado.

Foi justamente pensando nisso que a Linux Foundation passou a procurar as grandes players do mercado de tecnologia para que pudessem dar assistência aos desenvolvedores independentes da mesma forma que a organização auxilia, por exemplo, o criador do sistema operacional, Linus Torvalds. De início, o comprometimento das companhias envolvidas está na casa dos US$ 3,6 milhões, um valor que deve crescer com a adesão de novas empresas.

Além do dinheiro em si, as companhias participantes do CII terão poder de voto para escolher quais projetos serão apoiados pelo fundo. O OpenSSL, claro, será o primeiro deles, mas de acordo com o site da revista Wired, outros também podem entrar já na primeira fase do projeto.

Financiamento para todos

Outra ideia importante que está sendo propagada pelo grupo é a ideia da divisão correta de fundos. Muitos projetos de código aberto, por mais que sejam tocados por um determinado grupo de pessoas, contam com bibliotecas e tecnologias desenvolvidas por terceiros. Quando um projeto de financiamento desse tipo entra em ação, porém, os responsáveis por essas tecnologias acabam não vendo a cor do dinheiro.

É uma dinâmica que o CII deseja mudar ao distribuir os fundos igualmente entre todos os envolvidos e garantindo que todos possam trabalhar de forma direta nas soluções adotadas pelo mercado. Além de evitar desastres de segurança, a ideia é evitar problemas como os enfrentados pelo OpenBSD, que no ano passado quase teve de fechar as portas devido à falta de fundos.

O sistema de código aberto é utilizado em uma série de firewalls disponíveis no mercado, incluindo algumas soluções comerciais, mas seus responsáveis nunca receberam nenhum tipo de suporte financeiro das empresas que o utilizam. O que o CII quer, também, é mudar a mentalidade da comunidade de software, garantindo uma distribuição mais adequada dos fundos. E esse, pelo jeito, parece ser um desafio maior que o de resolver falhas de segurança.