Участники проекта OpenBSD работают над созданием одноименной операционной системы, а также смежных инструментов, таких как OpenSSH, OpenBGPD, OpenNTPD и OpenSMTPD. В связи с известными событиями вокруг библиотеки OpenSSL, в которой обнаружен опасный баг и которая известна ужасным качеством кода, решено запустить альтернативный проект LibreSSL. Это безглючная, очищенная версия OpenSSL.
OpenSSL считается стандартной библиотекой для криптографической защиты трафика с помощью протоколов SSL/TLS. Но репутация этой программы оказалась сильно подмочена багом Heartbleed. Как выяснилось, примерно две трети «защищенных» сайтов интернета в течение последних двух лет были открыты для прослушивания. Эксперты предполагают, что об этой уязвимости ведущие спецслужбы мира узнали в течение несколько недель после ее появления в 2012 году, и с тех пор активно эксплуатировали ее, собирая SSL-сертификаты и пароли пользователей с серверов по всему интернету. Инцидент вызвал массовую критику качества кода OpenSSL, плохо документированного и местами неграмотно написанного.
Проект LibreSSL должен стать достойной альтернативой OpenSSL. Его задача — избавиться от больших фрагментов кода, который имеет узкоспециализированное назначение, мало кому нужен и только захламляет кодовую базу. Среди таких фрагментов — код, который сами разработчики OpenSSL планировали удалить, но так и не сделали этого.
Тео де Раадт (Theo de Raadt), основатель и руководитель проектов OpenBSD и OpenSSH, говорит, что им уже удалось избавиться примерно от 90 000 строк кода на C и 150 000 строк содержимого в целом: «Мы пытаемся сделать код более понятным. 99,99% представителей сообщества не нужна поддержка VMS, а 98% не нужна поддержка Windows. Им нужна поддержка POSIX, чтобы могли запускаться Unix и Unix-производные. Людей не заботит FIPS. Код должен быть простым. Даже после всех изменений, кодовая база по-прежнему совместима с API. Наше целое собрание портов (8700 приложений) продолжает компилироваться и работать, после всех изменений».
Тео де Раадт заметил, что его организация не имеет отношения к сайту OpenSSL Valhalla Rampage, посвященному проекту LibreSSL. Он не знает, кто открыл этот сайт.
Больше статей
Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018