- Door
- Jeroen Mulder
- geplaatst op
- 11 maart 2015 10:00 uur
Natuurlijk was Heartbleed een ramp, maar het was ook vooral een wake-up call. Open source kon je wellicht toch niet overlaten aan de enthousiastelingen die de code continu verbeterden of fouten opspoorden en problemen oplosten. Ergens is een instantie nodig die gestructureerd kijkt of producten nog wel voldoen, zoals OpenSSL. Zeker omdat opensource-producten de fundering vormen van veel kritische services op het internet. Die instantie was er overigens: de Linux Foundation. Maar dat had op geen enkele wijze de middelen en de mensen om een kwaliteitstaak op zich te nemen.
En toen kwam Heartbleed. En iedereen leek wakker te schrikken. Twaalf leidende partijen in de cloudindustrie staken de koppen bij elkaar en bedachten een plan. Al deze partijen – waaronder Microsoft, Google, Amazon, Rackspace en VMware – leggen een ton in waarmee de Linux Foundation haar taken beter kan uitvoeren. Een van die taken: kwaliteitsbewaking van opensource-producten die letterlijk de ‘kern’ vormen van veel clouddiensten. De foundation doet dit in het Core Infrastructure Initiave. Dat OpenSSL de hoogste prioriteit heeft, is niet meer dan logisch – gezien de impact van de Heartbleed-bug vorig jaar.
De Linux Foundation maakte deze week bekend dat het nieuwe initiatief een grote audit gaat uitvoeren op OpenSSL. De Foundation doet dit overigens niet zelf, maar besteedt de audit uit aan Cryptography Services, een team met specialisten van onder meer NCC en iSec. Dat team zal vooral kijken naar de TLS-stacks. Het team zelf noemt het een eer dat het deze audit mag uitvoeren. Op de uitkomsten zullen we wel even moeten wachten. De foundation verwacht dat de audit enkele maanden in beslag zal nemen.