Компания Google анонсировала BoringSSL — собственный форк OpenSSL
2Иллюстрация с сайта Heartbleed.Com
Инженер компании Google Адам Ленгли (Adam Langley) рассказал о том, что в компании уже некоторое время разрабатывался форк OpenSSL, который получил временное название BoringSSL.
Данный форк создаётся не для замены OpenSSL — компания Google как участник Core Infrastructure Initiative (инициативы по поддержанию фундаментальных для интернета проектов) продолжит работу над развитием оригинального OpenSSL. Более того, не исключается возможность того, что проект BoringSSL присоединится к другому форку — LibreSSL, анонсированному в апреле этого года основателем OpenBSD Тео де Раадтом (Theo de Raadt).
Появление BoringSSL связано с тем, что в компании Google для SSL существует большое количество патчей, которые в последнее время разрослись до существенных размеров. Некоторые из них были приняты в основную ветку разработки OpenSSL, но другие — ещё нет. Помимо этого, в системе отслеживания ошибок OpenSSL существовали ошибки возрастом порядка четырёх лет и они были исправлены совсем недавно, а качество некоторых частей кода «заставляет плакать кровавыми слезами».
Тео де Раадт так комментирует анонс BoringSSL: «Я подозреваю, что эта новость порадует всех, кто работает над LibreSSL: выбор — это хорошо. Их приоритеты расставлены так, что в первую очередь важна безопасность, а не совместимость ABI, как и в нашем проекте. Предполагаю, что со временем их версия также будет предлагать урезанный API, так как им не требуется широкая поддержка устаревших приложений».
Постоянная ссылка к новости: http://www.nixp.ru/news/12574.html. Никита Лялин по материалам Threatpost.Com, Imperialviolet.Org.
- В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160) 8 апреля 2014 г.
- LibreSSL — форк OpenSSL от проекта OpenBSD 5 3 22 апреля 2014 г.
- Linux Foundation создала Core Infrastructure Initiative для поддержки важных Open Source-проектов 1 28 апреля 2014 г.
- Представлена новая технологическая дорожная карта для проекта OpenSSL 2 3 4 июля 2014 г.
- Amazon выпустила свою Open Source-реализацию SSL/TLS — s2n 2 1 июля 2015 г.
В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3
Из LibreSSL 2.3.0 окончательно убрали SSLv3, а также DTLS_BAD_VER и SHA-0
Amazon выпустила свою Open Source-реализацию SSL/TLS — s2n 2
Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1
Google откажется от использования SHA-1 для HTTPS в браузере Chrome
LibreSSL — форк OpenSSL от проекта OpenBSD 5 3
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1