由于Heartbleed漏洞,最近几周OpenSSL项目受到了严格审查。尽管OpenSSL基金会已公开要求提供更多资金来推动开发,但现在开始着手推进OpenSSL的新选择。在开放源代码开发模型中,当发生争执并且一个团队想要以不同的方向进行项目时,就会发生分叉,而这正是OpenSSL现在正在发生的事情。
开源OpenBSD操作系统社区现已正式分叉了OpenSSL代码,并正在构建自己的开源密码库LibreSSL。
OpenSSL的派生是对Heartbleed漏洞的直接响应,该漏洞于4月7日首次公开披露。OpenSSL是一个开放源代码加密库,用于向网站和嵌入式技术提供安全套接字层(SSL)服务。Heartbleed漏洞可能使攻击者能够从易受攻击的服务器读取数据。这是针对加拿大税务局以及安全厂商FireEye 的客户的攻击。
当Heartbleed新闻首次爆发时,我联系了OpenBSD创始人Theo de Raadt,他始终是进行丰富多彩评论的重要来源。OpenBSD是一个使用OpenSSL的开放源代码操作系统,还领导了许多重要的开放源代码工作,包括OpenSSH。我对围绕Heartbleed漏洞的披露流程感到好奇,该漏洞使数亿最终用户面临风险,尽管不知何故某些服务(包括Google和CloudFlare)确实得到了提前通知。
“我们没有收到任何通知,” De Raadt告诉我。“我遇到一个参与本地Internet交换的人后从酒吧回来,发现有四个开发人员已经在勘误中工作,我批准了他们的差异,因为它们不会造成ABI(应用程序二进制接口)损坏,并对补丁进行了签名,运送。”
现在,OpenBSD不再只是等待OpenSSL项目共同行动,而是通过分支该项目并创建LibreSSL来自己处理问题。LibreSSL计划还处于初期阶段,目前的目标是将其包含在OpenBSD 5.6中,以及随后的其他操作系统,我怀疑它将同时包含基于Red Hat和基于Debian的Linux。
根据LibreSSL 项目页面,一旦通过加拿大非营利性OpenBSD基金会有了稳定的资金投入,多操作系统支持就会出现。LibreSSL中已经有一些正在积极开发的代码,而且看起来像是对OpenSSL的大规模清理。
LibreSSL项目页面指出:“我们知道你们所有人都希望明天,我们正在尽可能快地工作,但是我们的主要重点是我们相信自己可以运行的优秀软件。” “我们不想伤您的心。”
LibreSSL项目是一个很好的例子,说明了为什么开源是开发软件的一种绝佳方法。当事情不起作用时,可以对开源代码进行分叉,并且可以将其用于另一个方向。尝试使用专有代码。
