BT
x Votre opinion compte ! Merci de bien vouloir répondre au sondage InfoQ concernant vos habitudes de lecture !

Conséquences d'HeartBleed : des développeurs d'OpenBSD commencent à purifier OpenSSL

par Jeff Martin , traduit par Paul Marois le 14 mai 2014 |

Mise à jour (23 Avril 2014) : Le fork d’OpenSSL a un nom : LibreSSL. L'équipe a annoncé qu'ils ciblaient une version de production initiale pour la sortie OpenBSD 5.6 (prévue pour novembre 2014). Une version portable d’OpenSSL dépendra des dons de la communauté au sens large.

Les dernières nouvelles de la faille Heartbleed ont porté beaucoup d’attention sur l'ensemble du projet OpenSSL, aussi bien de la part de la communauté technique que des médias grand public. Construire une sensibilisation accrue autour des problèmes auxquels la bibliothèque fait face est la première étape d’amélioration de la sécurité. L'équipe de développement d'OpenBSD commence l'étape suivante en procédant à un audit massif et un nettoyage de l'ensemble de la base de code d’OpenSSL (Malgré des noms de projets similaires, il est à noter qu’OpenBSD est totalement distinct d’OpenSSL, et jusqu'à présent, les développeurs d’OpenBSD n’étaient pas impliqués dans le code du projet).

L'équipe de développement d’OpenBSD suit une philosophie de conception qui adhère à la "portabilité, la standardisation, l'exactitude, la sécurité proactive et la cryptographie intégrée". Prioriser un design sûr et intelligent avant toute autre considération a régulièrement soulevé de sévères critiques par d'autres projets open source. Peut-être plus particulièrement par le créateur de Linux, Linus Torvalds, qui avait parlé de l'équipe d’OpenBSD comme un groupe de "masturbating monkeys" en 2008. Compte tenu du niveau de délabrement dans la bibliothèque OpenSSL, il semblerait que la pensée "noir et blanc" d'OpenBSD puisse être exactement ce dont elle a besoin pour retrouver une certaine confiance en elle.

Les rapports et les commits découlant de ce nettoyage sont une combinaison entre perspicacité et divertissement. Le site OpenSSL Valhalla Rampage et son flux Twitter ont vu le jour pour mettre en évidence des changements particulièrement mémorables. Dans les commits, on fait référence au rappeur Coolio et à Hal9000. Le développeur OpenBSD Bob Beck a noté que plus de 82 000 lignes de code C ont été retirées jusqu'à présent. Un aperçu des modifications apportées au code depuis le 11 Avril est disponible avec la permission du développeur Joshua Stein.

Au moment de la rédaction de cet article, le nom de la version OpenSSL révisée par OpenBSD, n'a pas encore été donné. Une date de sortie officielle n’a pas non plus été fixée. Il est également flou si oui ou non une version portable sera disponible pour les systèmes non-OpenBSD similaires à la méthode par laquelle OpenSSH est livré. Peu importe le chemin que cette version révisée prendra car l'énorme quantité de travail que l'équipe est en train de fournir sera disponible à tous les projets puisque le code est accessible au public tout au long du processus de développement.

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Contenu Éducatif

Rien ne serait possible sans le soutien et la confiance de nos Sponsors Fondateurs:

AppDynamics   CloudBees   Microsoft   Zenika
Feedback Général
Bugs
Publicité
Éditorial
InfoQ.com et tous les contenus sont copyright © 2006-2014 C4Media Inc. InfoQ.com est hébergé chez Contegix, le meilleur ISP avec lequel nous ayons travaillé.
Politique de confidentialité
BT