OpenSSL

Хочешь денег — добавь в свободный проект критическую уязвимость

Разработчики дырявого криптографического пакета OpenSSL получат финансирование со стороны Google, Facebook, Microsoft и других компаний. Предполагается, что денежные вливания смогут благотворно повлиять на качество программного кода OpenSSL.

Организация The Linux Foundation объявила о запуске проекта Core Infrastructure Initiative (CII) в качестве ответной меры на кризис, вызванный уязвимостью Heartbleed в OpenSSL. С помощью спонсоров из числа богатых корпораций The Linux Foundation обещает вложить «миллионы долларов» в разработку ключевых проектов Open Source и аудит их безопасности.

Комментарий редакции Либератума

Известный специалист в области криптографии Б. Шнайер оценил степень опасности последней уязвимости в OpenSSL в 11 баллов из 10. До этого спецы из криптографического сообщества предупреждали широкую общественность о «крайне низком качестве кода этой библиотеки» и даже сделали заявление, что OpenSSL писали обезьяны. Возникает вопрос: если дать обезьяне набитый долларами кошелек, превратится ли от этого обезьяна в профессионального программиста? И стоит ли вообще давать деньги за то, что другие люди обещали сделать бесплатно?

Главная тема: 
Компании: 
Программное обеспечение: 
Пользовательские теги: 

Опозорившийся проект OpenSSL заменят на LibreSSL

Разработчики OpenBSD форкнули проект OpenSSL и обещают навести порядок в исходном коде.

Лидер проекта OpenBSD Тео де Раадт поделился некоторыми подробностями создания LibreSSL — замены протокола OpenSSL.

Тео рассказал, что они уже смогли убрать более 150 000 строк кода, удалили устаревшие и малоиспользуемые возможности. «Некоторые убранные строки — это просто отступы, которые мы устраняем, чтобы сделать код более понятным», — заявил он.

Программное обеспечение: 
Пользовательские теги: 

Назван виновный в критической уязвимости OpenSSL

Немецкий программист Робин Зеггельман, который добавил в пакет OpenSSL критическую уязвимость Heartbleed, заявил, что сделал это непреднамеренно, передает TJournal. Зеггельман дал интервью австралийской газете The Syndey Morning Herald, подчеркнув, что ошибка, которую окрестили Heartbleed («Кровоточащее сердце») оказалась в коде случайно.

Зеггельман сообщил, что ошибка появилась в предварительных версиях кода в декабре 2011 года, когда он работал над улучшением OpenSSL и готовил к отправке на утверждение несколько исправлений для уже существовавших багов.

Программное обеспечение: 
Пользовательские теги: