Tanja de Vrede's blik op 2014: Heartbleed-ramp leidt tot betere Open Source

De Hearbleed-bug is een fout in een belangrijk onderdeel van OpenSSL, dat nota bene zorgt voor het opzetten van beveiligde webverbindingen. Doordat er niet genoeg geld en daardoor niet genoeg mensen voorhanden waren in de testfase, werd de fout niet opgemerkt. En ook later niet. Volgens Robin Seggelman, de ontwikkelaar die de schuld voor de fout in de code op zich heeft genomen, verklaart het zo: “OpenSSL heeft miljoenen gebruikers, maar slechts een enkeling draagt actief bij aan het project.”

Maar met de oprichting van The Core Infrastructure Initiative is in elk geval een flinke stap in de goede richting gezet. Onder meer Microsoft, IBM, Intel, Google en Cisco steunen dit initiatief van de Linux Foundation. Doel hiervan is de kwaliteit van cruciale opensourceprojecten te verbeteren. De genoemde bedrijven hebben toegezegd flink geld en expertise bij te dragen. En het eerste project dat The Core Infrastructure Intiative oppakt, is OpenSSL. Er komen daardoor miljoenen beschikbaar voor testen, ontwikkeling en sneller reageren op patchverzoeken. Deze beloofde inspanningen en investeringen vormen een schril contrast met de 2000 dollar die het OpenSSL-project de afgelopen jaren in donaties ontving.

Veiligheid internet afhankelijk van open source

De zonnige zijde aan deze ontwikkeling is natuurlijk dat men zich nu goed realiseert dat de veiligheid van internet voor een groot deel afhankelijk is van opensourcesoftware en dat hier dus navenant in geïnvesteerd moet worden. Treurig is wel, dat men dit niet van tevoren heeft kunnen bedenken en dat er eerst wel een heel groot kalf moest verdrinken.