OpenSSL Project是颇为流行的开源加密软件的“守护者”,不过Heartbleed漏洞让该组织饱受批评,为此,该组织制定了一个路线图,用以解决一些长期存在的问题,并改进与其社区的沟通。
目前,OpenSSL Project已将这个路线图发布到OpenSSL网站。该路线图列出了多年来企业遇到的一些问题,其中最紧迫的问题在于该项目缺乏一致的文档记录(例如有些漏洞已经被修复,但从来没有被记录到跟踪系统中),此外,OpenSSL软件某些区域的文档记录已经丢失或者有错误。
根据路线图显示,该代码库本身也存在问题。该项目扩展到现在并不相关的几个平台,而各种开发人员在该软件上使用不同的编码风格工作,导致该代码库过于复杂。并且,代码也缺乏定期的审查。
“目前的代码布局是异乎寻常的、怪异的,不同于其他任何开源软件,”这个OpenSSL Project路线图制定了一项战略,用以确保定期代码审查、减小加密库的复杂性、并改善文档记录的做法。
该路线图指出,也许最紧迫的问题是:对于如何向用户发出安全警告,OpenSSL Project从来没有制定过一个标准的方法。当世界各地的企业在争先恐后地解决Heartbleed漏洞时,这一问题浮出了水面,他们都没有事先收到警告。在两个月内,openSSL计划提供相关文档以确定如何生成安全修复程序、以及用户是否会收到有关更新的预先通知。
OpenSSL存在的很多问题,在很大程度上可能是由于该项目缺乏资金。OpenSSL软件基金会联合创始人Steve Marquess日前表示,在Heartbleed漏洞之前,该企业每年只收到大约2000美元的捐款,并且其年收入从来没有超过100万美元。因此,在这个支撑网络安全的项目中,几乎没有投入多少人工时。
最近,十几家世界上最大的高科技公司出资数百万美元来资助像OpenSSL这样的关键开源项目,这可能有助于减小资金缺口。从这些资金注入和其最新发布的路线图来看,OpenSSL Project似乎要经历一次必要的修整。
“越来越多的人认为OpenSSL Project发展非常缓慢,且愈发孤立,”不过从公布的OpenSSL路线图来看,“其会将有待改进的目标及完成目标所需的时间表确定下来,以解决这个问题。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.
翻译
相关推荐
-
OpenSSL首次中国行:看互联网安全背后的中国力量
9月18-24日,OpenSSL首次来访中国,在杭州、深圳、北京三地举办活动,与中国顶尖科技公司及开发者进行技术分享和交流。
-
OpenSSL修复加密漏洞、加强Logjam防御
OpenSSL项目团队为其密码库发布补丁以修复一个严重的漏洞(该漏洞可能允许攻击者解密HTTPS通信),同时强化对Logjam的防御。
-
Eric Cole:并非僭越 CISO应该直接向CEO报告
Secure Anchor咨询公司创始人兼SANS研究所高级研究员Eric Cole博士倡导一种新的报告结构,即首席信息安全官向CEO报告,而不是CIO。
-
浏览器插件Silverlight遭路过式攻击 怎么解?
在之前浏览器插件Silverlight遭受路过式攻击后,Silverlight的安全性开始受到质疑。在本文中,专家Michael Cobb解释了如何抵御这种攻击。