OpenSSL在互联网安全方面的重要性似乎一直难以与它的支持资金相匹配。作为互联网里应用最广泛的开源加密软件库， OpenSSL保护着数十万网站， 保护着那些销售数十亿美金的大公司，然而， 这个开源项目的资金情况缺失一直捉襟见肘。 据OpenSSL软件基金的主席SteveMarquess在博客中介绍， OpenSSL通常每年收到的捐款约为2000美元。 仅仅只能雇佣只有一名全职员工从事编程工作。

所以， 当OpenSSL出现“心脏流血“漏洞时， 我们也并不能过分责怪这个开源项目的维护者们。OpenSSL作为开源项目运行的窘境与其他一些从大公司接受到大笔捐款的的开源项目形成了鲜明的对比。 比如说Linux内核项目，就拥有一个基金会， 有数名全职雇员。 基金会从HP， IBM， RedHat，Intel，Oracle，Google， Cisco以及其他很多很多公司接受捐款。这些公司的员工同时也向Linux内核提供代码。

OpenSSL项目的窘境也引发了开源社区的关注。上周Linux基金会宣布了一个3年期的“核心基础设施计划”（CII）， 打算至少提供390万美元用来资助那些经费不足的开源项目。 OpenSSL项目成为第一个资助的对象。根据Linux基金会的执行总监Jim Zemlin透露， 亚马逊， Cisco， Dell， Facebook，富士通，Google， IBM， Intel，微软， NetApp， Qualcomm，Rackspace以及VMWare公司都已经明确表示在今后三年至少每年赞助10万美元用于这个“核心基础设施计划”。

当然， 这笔钱会用到几个不同的开源项目， OpenSSL会得到其中的一部分。除OpenSSL之外，这个计划还会挑选其他的一些重要的开源项目来进行资助。

“老实说，我们三年前就应该开始这样的计划。”Jim Zemlin说。

因为“心脏流血“漏洞， OpenSSL成为了该计划的第一个资助对象。 Linux基金会宣布“OpenSSL将会得到的资金包括对重要开发人员的资助，以及其他一些资源用来保证安全性， 保证外部审阅， 以及对补丁需求的及时反应。“ OpenSSL以及其他项目还会得到关于计算及测试平台，差旅等方面的资金支持。

这些资金是不带附加条件的。 Zemlin说“我们希望帮助这些开源项目，不过这必须符合他们开源社区的规矩。OpenSSL的开发人员为了这个超级复杂的软件付出了很多。 而这些工作从某种角度来说是吃力不讨好的。”

…………

——更多详情请戳“阅读原文”

——如果大家觉得不错，就点击右上角分享吧

信息安全知识，微信ID：gooann-sectv