La faille de sécurité Heartbleed, qui n’a pas été détectée pendant plus de deux ans,  a illustré un problème structurel des logiciels libres.

Alors que les grands projets libres (comme le navigateur Firefox ou le serveur web Apache) sont largement financés, des librairies de code critiques comme OpenSSL, utilisées par la plupart des grandes entreprises, et notamment la plupart des grandes entreprises Internet, ont des moyens très limités. Ces dernières années, OpenSSL recevait un financement de 2 000 $ (1 450 €) par an.

Une petite équipe de quatre personnes, dont une seule à plein temps, est responsable d’OpenSSL. Ce qui est insuffisant pour écrire, tester, maintenir et auditer le code.

Aujourd’hui, la Linux Foundation a accepté de piloter le projet Core Initiative Infrastructure (CII).

La CII est financée par Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, RackSpace, and VMware.

CII_Backers

D’après Amanda McPherson, la directrice du marketing de la Linux Foundation, ces entreprises se sont engagées pour plus de 3,6 millions de dollars (2,6 millions d’euros).

Ensemble, ces entreprises, la fondation et des sommités de l’industrie et du monde académique formeront le comité directeur, qui identifiera les projets critiques en manque de financement, et les financeront.

S’i elle est directement inspirée par l’OpenSSL, qui sera la première à en profiter, la CII ne se limitera pas aux problèmes de sécurité.

Tout le monde peut contribuer au financement du projet.