邹铮编译 发表于:14年07月03日 17:00 [转载] DOIT.com.cn
OpenSSL项目发布路线图反击批评
OpenSSL项目正计划作出一些改变来加强其安全组件的安全性,目前这些安全组件正在数百万台的联网计算机中使用,而且这些组件业界认为是最出色的组件。
OpenSSL是一个开源代码库,它使用SSL/TLS(安全套接层/传输层安全)加密计算机和服务器之间的流量。这是基本的防御,当流量被拦截时,它可以保证电子商务交易、电子邮件和其他数据无法读取。
在4月份,“Heartbleed”软件漏洞曝光后,动摇了业界对OpenSSL的信心,“Heartbleed”漏洞允许攻击者加密拦截的流量或者获取数据,例如登录名和密码。
自那以后,该项目饱受批评,批判者指出该项目的资金和人力都不足,尽管OpenSSL被广泛用于各种软件中。
根据该项目网站的帖子显示,OpenSSL的路线图是为了反击批评者认为OpenSSL“发展非常缓慢并且孤立”的观点。
根据该路线图显示,目前该项目计划解决的问题包括缺乏代码审查、不一致的编码风格、糟糕的文档记录、没有平台战略,以及没有定期的发布周期。
该项目组还计划检查在其漏洞追踪系统中发现的大量问题,很多问题还从来没有经过审查。
OpenSSL项目遭受的批评推动了LibreSSL项目的推出,该项目一直在修复漏洞以及重新编写OpenSSL代码的糟糕部分。
谷歌还宣布他们正在开发自己的软件,被称为“BoringSSL”,这更适合其自己的项目。该公司还计划剥离OpenSSL中的不需要的API(应用程序编程接口)和ABI(应用程序二进制接口)。
谷歌表示他们计划公布LibreSSL和OpenSSL项目发现的漏洞。
各大科技公司也意识到他们需要支持OpenSSL项目,这些公司将会支持核心基础设施倡议,这个项目旨在帮助资金不足但又非常重要的开源项目。(邹铮编译)