BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Conséquences d'HeartBleed : des développeurs d'OpenBSD commencent à purifier OpenSSL

Conséquences d'HeartBleed : des développeurs d'OpenBSD commencent à purifier OpenSSL

Favoris

Mise à jour (23 Avril 2014) : Le fork d’OpenSSL a un nom : LibreSSL. L'équipe a annoncé qu'ils ciblaient une version de production initiale pour la sortie OpenBSD 5.6 (prévue pour novembre 2014). Une version portable d’OpenSSL dépendra des dons de la communauté au sens large.

Les dernières nouvelles de la faille Heartbleed ont porté beaucoup d’attention sur l'ensemble du projet OpenSSL, aussi bien de la part de la communauté technique que des médias grand public. Construire une sensibilisation accrue autour des problèmes auxquels la bibliothèque fait face est la première étape d’amélioration de la sécurité. L'équipe de développement d'OpenBSD commence l'étape suivante en procédant à un audit massif et un nettoyage de l'ensemble de la base de code d’OpenSSL (Malgré des noms de projets similaires, il est à noter qu’OpenBSD est totalement distinct d’OpenSSL, et jusqu'à présent, les développeurs d’OpenBSD n’étaient pas impliqués dans le code du projet).

L'équipe de développement d’OpenBSD suit une philosophie de conception qui adhère à la "portabilité, la standardisation, l'exactitude, la sécurité proactive et la cryptographie intégrée". Prioriser un design sûr et intelligent avant toute autre considération a régulièrement soulevé de sévères critiques par d'autres projets open source. Peut-être plus particulièrement par le créateur de Linux, Linus Torvalds, qui avait parlé de l'équipe d’OpenBSD comme un groupe de "masturbating monkeys" en 2008. Compte tenu du niveau de délabrement dans la bibliothèque OpenSSL, il semblerait que la pensée "noir et blanc" d'OpenBSD puisse être exactement ce dont elle a besoin pour retrouver une certaine confiance en elle.

Les rapports et les commits découlant de ce nettoyage sont une combinaison entre perspicacité et divertissement. Le site OpenSSL Valhalla Rampage et son flux Twitter ont vu le jour pour mettre en évidence des changements particulièrement mémorables. Dans les commits, on fait référence au rappeur Coolio et à Hal9000. Le développeur OpenBSD Bob Beck a noté que plus de 82 000 lignes de code C ont été retirées jusqu'à présent. Un aperçu des modifications apportées au code depuis le 11 Avril est disponible avec la permission du développeur Joshua Stein.

Au moment de la rédaction de cet article, le nom de la version OpenSSL révisée par OpenBSD, n'a pas encore été donné. Une date de sortie officielle n’a pas non plus été fixée. Il est également flou si oui ou non une version portable sera disponible pour les systèmes non-OpenBSD similaires à la méthode par laquelle OpenSSH est livré. Peu importe le chemin que cette version révisée prendra car l'énorme quantité de travail que l'équipe est en train de fournir sera disponible à tous les projets puisque le code est accessible au public tout au long du processus de développement.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT