OpenSSL項目發(fā)布路線圖反擊批評

OpenSSL項目正計劃作出一些改變來加強其安全組件的安全性，目前這些安全組件正在數(shù)百萬臺的聯(lián)網(wǎng)計算機中使用，而且這些組件業(yè)界認為是最出色的組件。

OpenSSL是一個開源代碼庫，它使用SSL/TLS(安全套接層/傳輸層安全)加密計算機和服務(wù)器之間的流量。這是基本的防御，當(dāng)流量被攔截時，它可以保證電子商務(wù)交易、電子郵件和其他數(shù)據(jù)無法讀取。

在4月份，“Heartbleed”軟件漏洞曝光后，動搖了業(yè)界對OpenSSL的信心，“Heartbleed”漏洞允許攻擊者加密攔截的流量或者獲取數(shù)據(jù)，例如登錄名和密碼。

自那以后，該項目飽受批評，批判者指出該項目的資金和人力都不足，盡管OpenSSL被廣泛用于各種軟件中。

根據(jù)該項目網(wǎng)站的帖子顯示，OpenSSL的路線圖是為了反擊批評者認為OpenSSL“發(fā)展非常緩慢并且孤立”的觀點。

根據(jù)該路線圖顯示，目前該項目計劃解決的問題包括缺乏代碼審查、不一致的編碼風(fēng)格、糟糕的文檔記錄、沒有平臺戰(zhàn)略，以及沒有定期的發(fā)布周期。

該項目組還計劃檢查在其漏洞追蹤系統(tǒng)中發(fā)現(xiàn)的大量問題，很多問題還從來沒有經(jīng)過審查。

OpenSSL項目遭受的批評推動了LibreSSL項目的推出，該項目一直在修復(fù)漏洞以及重新編寫OpenSSL代碼的糟糕部分。

谷歌還宣布他們正在開發(fā)自己的軟件，被稱為“BoringSSL”，這更適合其自己的項目。該公司還計劃剝離OpenSSL中的不需要的API(應(yīng)用程序編程接口)和ABI(應(yīng)用程序二進制接口)。

谷歌表示他們計劃公布LibreSSL和OpenSSL項目發(fā)現(xiàn)的漏洞。

各大科技公司也意識到他們需要支持OpenSSL項目，這些公司將會支持核心基礎(chǔ)設(shè)施倡議，這個項目旨在幫助資金不足但又非常重要的開源項目。(鄒錚編譯)