OpenSSL 從去年下半年開始的 "HeartBleed" 漏洞開始受到外界(包含非技術界)的關注,作為一項被廣泛使用的開源項目,其安全性問題看起來迫在眉睫。
所幸的是,在 Linux 基金會“核心基礎設施倡導者(Core Infrastructure Initiative,下稱 CII)”的幫助下,老牌代碼安全審計機構 NCC Group 將開始參與到 OpenSSL 的代碼審計當中。
OpenSSL 因為對 SSL (Secure Sockets Layer)和 TLS (Transport Layer Security) 提供支持而成為與 Apache 和 Nginx 比肩的重要網絡安全庫(Web security library)。但 "HeartBleed" 和近期的 "FREAK" 兩個波及面極廣的安全漏洞讓這個為安全而生的開源項目變得有些尷尬。
本次為 OpenSSL 提供贊助的 CII 其設立初衷就是為資金短缺的基礎項目提供支持,在此之前的案例還有 NTP (Network Time Protocol)和 OpenSSH。
據 NCC 首席安全工程師的描述,OpenSSL 已經對代碼進行了重構,新的代碼已經足夠穩定并且很快會取代現有版本。而 NCC 在代碼審計中將會專注于 TLS stacks 方面的安全問題,包含 protocol flow、state transitions 和 memory management。除 NCC Group 之外,其它學術機構、商業分析公司、認證機構和個人都會參與 OpenSSL 各方面代碼審計。
此前,Google 主導了一個名為 BoringSSL 的 OpenSSL 分支項目,改進后者的同時也對它貢獻代碼。本消息由云木科技提供。