Aumentar a visibilidade de TI e de negócios valor
O projeto OpenSSL, tendo sofrido fortes críticas após a revelação de uma série de vulnerabilidades de segurança graves, publicou um roteiro explicando como planeja lidar com as preocupações dos usuários.
"O projeto OpenSSL é cada vez mais percebida como de baixa rotatividade e insular," a introdução dos documentos estados. "Este roteiro vai tentar resolver isso definindo alguns objectivos de melhoria, juntamente com prazos definidos."
O documento começa por identificar uma série de problemas conhecidos com o projeto, incluindo problemas tanto com os processos e com o próprio código.
Essencialmente, a equipe OpenSSL admite que sua atual árvore de código fonte é uma bagunça. É um projeto complexo, mas falta-lhe um estilo de codificação consistente e não há processos formais para revisão de código. Como resultado, o seu código cresceu desordenado e difícil de manter. Pior, a documentação é descrito como "irregular na melhor das hipóteses" e alguns se é impreciso.
Não ajuda que até agora a equipe de desenvolvimento tem carecido de um plano de jogo a longo prazo. Novas versões são lançadas com pouca freqüência e não cronograma de lançamento já foi publicado. Os bilhetes abertos foram se acumulando no banco de dados do Request Tracker do projeto, com alguns remanescentes de anos.
Nenhuma estratégia de manter a base de código
Além do mais, a equipe de desenvolvimento admite que não teve estratégia para manter a base de código através das várias plataformas para as quais foi portado. Alguns são plataformas legadas e os desenvolvedores atualmente não têm acesso a eles, então não há como dizer se o código de hoje ainda corre sobre eles.
Finalmente, OpenSSL nunca tenha definido uma abordagem formal para notificar o público sobre alertas de segurança. OpenBSD fundador Theo De Raadt foi mesmo acusado os desenvolvedores do OpenSSL de reter intencionalmente informações sobre correções de segurança importantes para a biblioteca do projeto OpenBSD - mas dadas as admissões no roteiro OpenSSL, El Reg suspeita que era uma questão mais de abandono que de malícia.
Nada disso deve vir como uma surpresa para quem vem acompanhando as consequências da Heartbleed escândalo vulnerabilidade. A maior parte das mesmas questões foram levantadas por de Raadt - embora menos educadamente - quando decidiu desembolsar OpenSSL como LibReSSL em abril.
O projeto está em andamento LibReSSL mas não houve atualizações até agora, e OpenSSL ainda pode ter mais recursos para atirar em um esforço de limpeza, particularmente à luz da crescente atenção o projeto tem recebido de grandes empresas eo Linux Foundation , pós -Heartbleed.
O roteiro não oferece soluções para a maioria dos problemas acima mencionados. Aqueles que ainda precisam ser discutidos e acordados, com decisões a serem tomadas em vários prazos, que variam de três meses a seis meses ou um ano - embora estamos advertiu que essas estimativas são "aspiracional".
Mas a política da plataforma do projeto já começou a se aglutinar. Daí em diante, as plataformas de desenvolvimento primárias para OpenSSL será Linux e FreeBSD. A lista de plataformas suportadas secundárias ainda está para ser decidido, mas uma vez que é, o apoio a plataformas legadas será aposentado e seu código será comparado para fora da árvore principal. Esse processo vai começar, o roteiro diz, "com base em quão rápido podemos refatorar o código."
E mesmo com todo esse trabalho à frente deles, os desenvolvedores do OpenSSL dizer que eles são, de fato, avaliando novos recursos - entre eles o suporte IPv6, suporte para ARMv8 e outras plataformas emergentes e suporte embutido para POSIX e Win32 multithreading. Não segure a respiração sobre estes, embora; por enquanto, fixando o projeto em si é um trabalho. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário