OpenSSL Project公开新的路线图 致力提高OpenSSL安全性

  OpenSSL Project是颇为流行的开源加密软件的“守护者”,不过Heartbleed漏洞让该组织饱受批评,为此,该组织制定了一个路线图,用以解决一些长期存在的问题,并改进与其社区的沟通。

  目前,OpenSSL Project已将这个路线图发布到OpenSSL网站。该路线图列出了多年来企业遇到的一些问题,其中最紧迫的问题在于该项目缺乏一致的文档记录(例如有些漏洞已经被修复,但从来没有被记录到跟踪系统中),此外,OpenSSL软件某些区域的文档记录已经丢失或者有错误。

  根据路线图显示,该代码库本身也存在问题。该项目扩展到现在并不相关的几个平台,而各种开发人员在该软件上使用不同的编码风格工作,导致该代码库过于复杂。并且,代码也缺乏定期的审查。

  “目前的代码布局是异乎寻常的、怪异的,不同于其他任何开源软件,”这个OpenSSL Project路线图制定了一项战略,用以确保定期代码审查、减小加密库的复杂性、并改善文档记录的做法。

  该路线图指出,也许最紧迫的问题是:对于如何向用户发出安全警告,OpenSSL Project从来没有制定过一个标准的方法。当世界各地的企业在争先恐后地解决Heartbleed漏洞时,这一问题浮出了水面,他们都没有事先收到警告。在两个月内,openSSL计划提供相关文档以确定如何生成安全修复程序、以及用户是否会收到有关更新的预先通知。

  OpenSSL存在的很多问题,在很大程度上可能是由于该项目缺乏资金。OpenSSL软件基金会联合创始人Steve Marquess日前表示,在Heartbleed漏洞之前,该企业每年只收到大约2000美元的捐款,并且其年收入从来没有超过100万美元。因此,在这个支撑网络安全的项目中,几乎没有投入多少人工时。

  最近,十几家世界上最大的高科技公司出资数百万美元来资助像OpenSSL这样的关键开源项目,这可能有助于减小资金缺口。从这些资金注入和其最新发布的路线图来看,OpenSSL Project似乎要经历一次必要的修整。

  “越来越多的人认为OpenSSL Project发展非常缓慢,且愈发孤立,”不过从公布的OpenSSL路线图来看,“其会将有待改进的目标及完成目标所需的时间表确定下来,以解决这个问题。”

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:不得不防的网络安全隐患