OpenSSL Project是頗為流行的開源加密軟件的“守護(hù)者”,不過Heartbleed漏洞讓該組織飽受批評,為此,該組織制定了一個路線圖,用以解決一些長期存在的問題,并改進(jìn)與其社區(qū)的溝通。
目前,OpenSSL Project已將這個路線圖發(fā)布到OpenSSL網(wǎng)站。該路線圖列出了多年來企業(yè)遇到的一些問題,其中最緊迫的問題在于該項(xiàng)目缺乏一致的文檔記錄(例如有些漏洞已經(jīng)被修復(fù),但從來沒有被記錄到跟蹤系統(tǒng)中),此外,OpenSSL軟件某些區(qū)域的文檔記錄已經(jīng)丟失或者有錯誤。
根據(jù)路線圖顯示,該代碼庫本身也存在問題。該項(xiàng)目擴(kuò)展到現(xiàn)在并不相關(guān)的幾個平臺,而各種開發(fā)人員在該軟件上使用不同的編碼風(fēng)格工作,導(dǎo)致該代碼庫過于復(fù)雜。并且,代碼也缺乏定期的審查。
“目前的代碼布局是異乎尋常的、怪異的,不同于其他任何開源軟件,”這個OpenSSL Project路線圖制定了一項(xiàng)戰(zhàn)略,用以確保定期代碼審查、減小加密庫的復(fù)雜性、并改善文檔記錄的做法。
該路線圖指出,也許最緊迫的問題是:對于如何向用戶發(fā)出安全警告,OpenSSL Project從來沒有制定過一個標(biāo)準(zhǔn)的方法。當(dāng)世界各地的企業(yè)在爭先恐后地解決Heartbleed漏洞時,這一問題浮出了水面,他們都沒有事先收到警告。在兩個月內(nèi),openSSL計劃提供相關(guān)文檔以確定如何生成安全修復(fù)程序、以及用戶是否會收到有關(guān)更新的預(yù)先通知。
OpenSSL存在的很多問題,在很大程度上可能是由于該項(xiàng)目缺乏資金。OpenSSL軟件基金會聯(lián)合創(chuàng)始人Steve Marquess日前表示,在Heartbleed漏洞之前,該企業(yè)每年只收到大約2000美元的捐款,并且其年收入從來沒有超過100萬美元。因此,在這個支撐網(wǎng)絡(luò)安全的項(xiàng)目中,幾乎沒有投入多少人工時。
最近,十幾家世界上最大的高科技公司出資數(shù)百萬美元來資助像OpenSSL這樣的關(guān)鍵開源項(xiàng)目,這可能有助于減小資金缺口。從這些資金注入和其最新發(fā)布的路線圖來看,OpenSSL Project似乎要經(jīng)歷一次必要的修整。
“越來越多的人認(rèn)為OpenSSL Project發(fā)展非常緩慢,且愈發(fā)孤立,”不過從公布的OpenSSL路線圖來看,“其會將有待改進(jìn)的目標(biāo)及完成目標(biāo)所需的時間表確定下來,以解決這個問題。”
京公網(wǎng)安備 11010502049343號