OpenSSL – tai „šiukšlių kalnas“, kurio neįmanoma ištaisyti (2)
HeartBleed – tai rimtas pažeidžiamumas kriptografiniame pakete OpenSSL, kuris plėtojamas kaip atviro kodo sprendimas. Kūrėjų komanda, pabandžiusi spragą užlopyti, prisipažino, negalintys to atlikti, todėl pristatė alternatyvią versiją, sukurdami projekto atšaką LibreSSL.
|
Visi šio ciklo įrašai |
|
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Puslapis Ars Technica praneša, kad kūrėjų grupė, kuriai vadovauja OpenBSD autorius Theo de Raadt, konstatavo vieną nemalonų faktą – OpenSSL kodas yra tikrų tikriausia košė. Štai ką kalbėjo LibreSSL projekto vadovas:
„Mūsų grupė pašalino pusę resursų iš OpenSSL medžio. Tai buvo niekam nereikalingi kodo likučiai. Atviro kodo modelis remiasi žmonėmis, kurie kodą supranta. Jis [modelis] remiasi supratimu. Šiame kode nėra aiškumo, nes bendruomenė tuo nepasirūpino.“
„Žinoma, kai susikaupia tiek šiukšlių, atsiranda kultūrinė praraja. Aš nepriiminėjau tokio sprendimo… Mūsų didelėje kūrėjų grupėje tokia nuomonė susiformavo pati“, – teigė Theo de Raadt.
Dėl šios priežasties buvo sukurtas projektas LibreSSL, kuriame viskas buvo pradėta nuo nulio. Mažiau nei per savaitę kūrėjai pašalino apie 90 000 eilučių, parašytų C kalba, ir tai nė kiek nepaveikė kriptografinio paketo funkcionalumo. Tai rodo, kokia gremėzdiška ir užteršta buvo OpenSSL realizacija.
