A Fundação Mozilla — responsável pelo navegador de internet Firefox — anunciou nesta quinta-feira, 9, que está lançando o fundo Secure Open Source (SOS) com o propósito de tornar os softwares de código aberto mais seguros. O fundo, que terá investimento inicial de US$ 500 mil, é parte do programa de apoio Mozilla Open Source que visa prevenir brechas de segurança como o Heartbleed ou o Shellshock, fornecendo auditoria de segurança, correção e verificação de projetos-chave de software em código aberto.
O Heartbleed foi uma brecha de segurança descoberta em 2014 que permite que hackers roubem senhas de usuários em muitos sites da web e aplicativos móveis, centenas de milhares de servidores corporativos, roteadores e outros dispositivos de internet em todo o mundo.
A Mozilla também está convocando as corporações e instituições educacionais e governamentais que utilizam software de código aberto a aderirem ao fundo. "Nós pedimos a essas instituições que se beneficiam do código aberto a ajudarem a proteger a internet", disse em um posto Chris Riley, diretor de políticas públicas da Mozilla.
A fundação irá contratar e pagar empresas especializadas em segurança para auditar o código de outros projetos, apoiar e implementar correções e pagar o trabalho para garantir que todos os erros identificados sejam corrigidos. Ela diz que já testou esse processo em três projetos (PCRE, libjpeg-turbo e phpMyAdmin). Nesses primeiros testes, o processo encontrou 43 erros, incluindo uma vulnerabilidade crítica. Para os testes iniciais, a Mozilla trabalhou com a Cure53 e Grupo NCC.
Os desenvolvedores que desejarem submeter o seu código a auditoria de segurança podem solicitar o suporte. Para ser atendido, seu código, obviamente, tem que ser de código aberto e ser mantido ativo. A Mozilla observa que também irá considerar como o software normalmente é usado e como é vital "para a continuidade do funcionamento da internet".
"Software abertos estão cada vez mais nas infraestruturas críticas e precisamos investir para mantê-los seguros. Esforços como o fundo SOS são importantes para fazer isso acontecer", afirma Matthew Green, professor assistente de ciência da computação no Instituto de Segurança da Informação Johns Hopkins.