由于Heartbleed漏洞,OpenSSL项目在最近几周受到了严格的审查。虽然OpenSSL基金会已经公开要求更多的资金来推动这项发展,但它现在开始推动OpenSSL的新选择。在开源开发模式下,当出现争议,一个团队想要进行不同方向的项目时,就会出现分叉,这也正是现在OpenSSL正在发生的事情。
开源BSD操作系统社区现在已经正式分支了OpenBSD代码,并且正在构建自己的开源密码库LibreSSL。
OpenSSL的衍生产品是对Heartbleed漏洞的直接回应,该漏洞于4月7日首次公开披露。OpenSSL是一个开源加密库,用于向网站和嵌入式技术提供安全套接字层(SSL)服务。Heartbleed漏洞可能允许攻击者从易受攻击的服务器读取数据。这是对加拿大税务局和安全公司火眼的客户的攻击。
当Heartbleed的消息第一次爆发时,我联系了OpenBSD的创始人西奥德拉德(Theo de Raadt),他一直是丰富多彩评论的重要来源。OpenBSD是一个使用OpenSSL的开源操作系统,领导了包括OpenSSH在内的许多重要开源工作。我很好奇围绕Heartbleed漏洞的泄露过程,这个漏洞让数亿最终用户面临风险,尽管不知何故,一些服务(包括谷歌和CloudFlare)已经提前得到通知。
“我们没有收到任何通知,”德拉特告诉我。“我从酒吧回来后,遇到一个参加当地互联网交流的人,发现四个开发人员一直在勘误工作。我认可他们的不同之处,因为它们不会导致ABI(应用程序二进制接口)损坏,并签署和发送了补丁。”
现在,OpenBSD不再只是等待OpenSSL项目一起行动,而是通过将项目分支并创建LibreSSL来处理这个问题。LibreSSL项目还处于起步阶段,目前的目标是将其纳入OpenBSD 5.6以及后续的其他操作系统中。我怀疑它将包括基于红帽和基于Debian的Linux。
根据LibreSSL项目页面显示,一旦通过加拿大非营利OpenBSD基金会有稳定的资本投入,就会出现多操作系统支持。LibreSSL已经有一些正在积极开发的代码,看起来像是对OpenSSL的大规模清理。
LibreSSL project page指出:“我们知道,你们所有人都希望明天,我们尽可能快地工作,但我们主要关注的是我们认为可以运行的优秀软件。”“我们不想伤你的心。”
LibreSSL项目是一个很好的例子,说明了为什么开源是开发软件的一个很好的方法。当事情不顺利的时候,你可以把源代码分支到另一个方向去使用。尝试使用专有代码。