Google merilis sendiri dikembangkan sendiri "garpu" nya OpenSSL, perpustakaan kriptografi banyak digunakan yang datang ke perhatian internasional setelah kerentanan Heartbleed yang mengancam ratusan ribu situs dengan serangan bencana.
Pembukaan dari BoringSSL, sebagai garpu Google telah dijuluki, berarti akan ada tiga versi terpisah dari OpenSSL, yang terkenal karena menerapkan secure socket layer dan transport protokol lapisan keamanan di sekitar 500.000 situs. Pengembang dari sistem operasi OpenBSD mengambil wraps off LibreSSL beberapa minggu setelah permukaan dari Heartbleed. Google adalah mengambil rasa sakit untuk memastikan SSL Boring tidak akan perlu bersaing atau mengganggu salah satu dari proyek-proyek independen.
Antara lain, perusahaan akan terus mendukung Prakarsa Infrastruktur Inti, yang memberikan $ 100.000 dalam pendanaan untuk pengembang OpenSSL sehingga mereka dapat membarui basis kode mereka buruk penuaan.
"Tapi kami juga akan lebih dapat mengimpor perubahan dari LibreSSL dan mereka dipersilakan untuk mengambil perubahan dari kami," Adam Langley, seorang insinyur kriptografi secara luas dihormati dan Karyawan Google, menulis dalam sebuah posting blog memperkenalkan BoringSSL. "Kami telah mengganti lisensi beberapa kontribusi kami sebelum OpenSSL bawah lisensi ISC atas permintaan mereka dan kode benar-benar baru yang kita tulis juga akan jadi berlisensi."
Sementara itu tidak segera jelas bagaimana garpu akan berfungsi-atau ketika masuk akal untuk menggunakan satu atas yang lain-pertukaran berikut dari forum Hackernews ini dapat memberikan beberapa petunjuk.
matteotom
Jadi dari apa yang saya mengerti, Google memiliki banyak OpenSSL patch yang mereka gunakan. Mereka digunakan untuk mendaftar ulang patch untuk setiap rilis OpenSSL baru, tapi sekarang mereka akan menjaga cabang sendiri (BoringSSL) dan tarik dan menggabungkan perubahan dari OpenSSL?
Berapa biaya / Manfaat salah satu metode di atas yang lain?
AGL
Saya pikir biaya dan manfaat yang cukup banyak apa yang Anda harapkan. Jika Anda diff dari hulu kecil, maka tradeoff sangat nikmat rebasing terhadap hulu dan pelacakan itu.
Namun, seperti diff menjadi lebih besar, tradeoff bergeser. Saya pikir kami melewati titik itu beberapa waktu lalu tapi, karena kami akan beralih model pula, saya mengambil beberapa waktu untuk membersihkan beberapa bit kode juga.
tedunangst
Sedikit kejutan. Anda tidak bangun suatu hari dan menemukan bahwa detak jantung TLS telah muncul di perpustakaan Anda sebagai hasil dari upgrade sebelumnya. Setiap perubahan hulu harus ditinjau karena itulah satu-satunya cara itu akan masuk juga, perubahan lokal sangat kecil kemungkinannya untuk hilang sebagai akibat dari konflik merge.
The downside adalah bahwa Anda mungkin kehilangan beberapa perubahan hulu bahwa Anda peduli.
borando
Berita bagus! Mudah-mudahan antara LibreSSL dan BoringSSL, OpenSSL akan pergi dan tidak pernah kembali. Saya pikir AGL dan tim LibreSSL akan dapat melakukan beberapa kolaborasi informal yang fantastis. Aku tak sabar untuk ekosistem TLS sehat.
The AGL peserta, sebagai catatan, adalah Google Langley.
Dalam posting blog Jumat, Langley ditandai BoringSSL sebagai versi lebih ringan-berat OpenSSL yang strip keluar banyak antarmuka aplikasi pemrograman (API) dan antarmuka aplikasi biner (ABI) ditemukan di bagian kedua.
"Tidak ada jaminan dari API atau stabilitas ABI dengan kode ini: kita tidak bertujuan untuk menggantikan OpenSSL sebagai proyek open-source," tulisnya. "Kami masih akan mengirim mereka perbaikan bug ketika kita menemukan mereka dan kami akan mengimpor perubahan dari hulu. Selain itu, kami masih akan mendanai Initiative Inti Infrastruktur dan OpenBSD Foundation."
Matthew Green, seorang profesor Johns Hopkins University yang mengkhususkan diri dalam kriptografi, juga optimis tentang pembukaan dari BoringSSL meskipun prospek itu menciptakan lebih banyak kompetisi untuk jumlah terbatas dana dan Mindshare.
"Saya yakin garpu Adam adalah baik," katanya kepada Ars. "Aku yakin dia pergi melalui dan melakukan persis apa yang harus dilakukan untuk OpenSSL, jadi dia mungkin berada di depan LibreSSL dalam banyak cara."
0 komentar:
Posting Komentar
Sundul gan! Ane ga kenal yang namanya spam...