OpenSSL – tai „šiukšlių kalnas“, kurio neįmanoma ištaisyti

Saugumas

HeartBleed – tai rimtas pažeidžiamumas kriptografiniame pakete OpenSSL, kuris plėtojamas kaip atviro kodo sprendimas. Kūrėjų komanda, pabandžiusi spragą užlopyti, prisipažino, negalintys to atlikti, todėl pristatė alternatyvią versiją, sukurdami projekto atšaką LibreSSL.

Puslapis Ars Technica praneša, kad kūrėjų grupė, kuriai vadovauja OpenBSD autorius Theo de Raadt, konstatavo vieną nemalonų faktą – OpenSSL kodas yra tikrų tikriausia košė. Štai ką kalbėjo LibreSSL projekto vadovas:

„Mūsų grupė pašalino pusę resursų iš OpenSSL medžio. Tai buvo niekam nereikalingi kodo likučiai. Atviro kodo modelis remiasi žmonėmis, kurie kodą supranta. Jis [modelis] remiasi supratimu. Šiame kode nėra aiškumo, nes bendruomenė tuo nepasirūpino.“

„Žinoma, kai susikaupia tiek šiukšlių, atsiranda kultūrinė praraja. Aš nepriiminėjau tokio sprendimo… Mūsų didelėje kūrėjų grupėje tokia nuomonė susiformavo pati“, – teigė Theo de Raadt.

Dėl šios priežasties buvo sukurtas projektas LibreSSL, kuriame viskas buvo pradėta nuo nulio. Mažiau nei per savaitę kūrėjai pašalino apie 90 000 eilučių, parašytų C kalba, ir tai nė kiek nepaveikė kriptografinio paketo funkcionalumo. Tai rodo, kokia gremėzdiška ir užteršta buvo OpenSSL realizacija.

faceitlt

Facebook Comments

Parašykite komentarą

El. pašto adresas nebus skelbiamas.