BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手

Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手

ブックマーク

原文(投稿日:2014/04/21)へのリンク

先日伝えられたHeartbleed脆弱性のニュースをきっかけに,OpenSSLに関連するすべてのプロジェクトが – 技術コミュニティから主要なニュースメディアまで,いたるところで – 詳細な検査を実施する必要性に迫られている。セキュリティ改善への第一歩は,ライブラリそのものが直面する問題に対して,十分な認識を確立することにある。さらにOpenBSD開発チームでは,厳密な監査の実施とOpenSSLコードベース全体のクリーンアップという,その先のステップに進みつつある。(プロジェクト名に類似性はあるが,OpenBSDとOpenSSLとはまったく独立したプロジェクトである点に注意してほしい。現在に至るまで,OpenBSDの開発者がOpenSSLのコードに関与したことはなかった。) 

OpenBSD開発チームは,"移植性,標準化,正確性,プロアクティブなセキュリティ,統合的な暗号機能" を堅持する,という設計上の方針を遵守している。セキュアでインテリジェントな設計を何よりも優先するその姿勢は,時に他のオープンソースプロジェクトから厳しく批判されることもある。その最たるものは,Linuxの作者Linus Torvalds氏が2008年に,同チームを"自慰行為サルの集団(a bunch of masturbating monkeys)"と評したことだろう。しかしOpenSSLライブラリに対する信用失墜のレベルを見るならば,OpenBSDの"白か黒"的な考え方も,このライブラリに対する信頼度を回復するためには必要かもしれない。

今回のクリーンアップで作成されたレポートとコードコミットには,洞察力とユーモアが同居している。OpenSSL Valhalla RampageというWebサイトとそのTwitterフィードが,中でも特に注目すべきアップデートを公開する目的で用意された。ソースコードのコミットには,ラップミュージシャンのCoolioHal 9000, Cthulhu(?)などが引用されている。OpenBSD開発者であるBob Beck氏の{0]ツイートによると,82,000行以上のCコードがこれまでに削除された。同じく開発者であるJoshua Stein氏の努力により,4月11日以降のコード変更の概要を高いレベルから確認できる

本記事の時点では,OpenBSDによるOpenSSLの改訂版には名称が付けられていない。正式なリリース日も未定のままだ。同じような方法でOpenSSHを配布しているOpenBSD以外のシステム用に,移植可能な形式のバージョンが公開されるかどうかも決定していない。今回の改訂版が最終的にどのような扱いを受けるにせよ,その開発プロセスを通じて同チームが払った多大な努力の成果は,コードの公開という形ですべてのプロジェクトに対して提供されることに違いない。

この記事に星をつける

おすすめ度
スタイル

BT