24 abr. 2014

Creador de OpenBSD crea #LibreSSL, un fork de OpenSSL, motivado por #HeartBleed

Debido a la vulnerabilidad de seguridad Heartbleed, el fundador de OpenBSD Theo de Raadt ha creado LibreSSL, un fork de OpenSSL, la biblioteca de software criptográfico de código abierto ampliamente utilizado en todo el mundo.

El error de codificación "trivial" y no intencional que originó HeartBleed ocurrió simplemente porque "el código existente de OpenSSL es un desastre" dijo Raad. "Nuestro grupo de trabajo ha eliminado la mitad del código fuente de OpenSSL en una semana, desechando sobras. El modelo de código abierto depende de que la gente sea capaz de leer el código. Depende de su claridad y la comunidad no parece preocuparse por claridad. Yo no tomé esta decisión, el grangrupo de desarrollo lo hizo" dijo Raad a Ars Technica.

Cuando se le preguntó a qué se refería "descartar sobras", Raad dijo que "por ejemplo hay miles de líneas de soporte para VMS y miles de líneas de soporte WIN32 antiguas. Windows hoy tiene APIs y no necesita funciones particulares. También hay miles de líneas de soporte a FIPS que obligan a rebajar los métodos de cifrados".

El equipo de trabajo ha retirado 90.000 líneas de código C e "incluso después de todos esos cambios, el código es todavía compatible y nuestro árbol de 8.700 aplicaciones continúan compilando y trabajando adecuadamente."

El nuevo proyecto LibreSSL está basado en el código utilizado en OpenBSD.org, y el proyecto es apoyado financieramente por la Fundación OpenBSD y el proyecto OpenBSD.

LibreSSL está compilado inicialmente para OpenBSD pero apoyará a múltiples sistemas operativos después de que el código consiga financiación. Hay que tener en cuenta que el mismo sistema operativo OpenBSD fue creado desde un fork de NetBSD en 1995.

Por su parte, el presidente de OpenSSL Software Foundation Steve Marquess dijo en un post la semana pasada que "las compañías de Fortune 1000 incluyen la biblioteca OpenSSL en sus productos y dispositivos que luego venden para obtener ganancias, pero nadie nunca han movido un dedo para contribuir a la comunidad Open Source que les dio este 'regalo'... El misterio no es que algunos voluntarios con exceso de trabajo hayan cometido un error. El misterio es por qué no ha ocurrido más a menudo".

Fuente: Ars Technica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!