谷歌计划公布LibreSSL和OpenSSL项目漏洞

  OpenSSL项目正计划作出一些改变来加强其安全组件的安全性,目前这些安全组件正在数百万台的联网计算机中使用,而且这些组件业界认为是最出色的组件。

  OpenSSL是一个开源代码库,它使用SSL/TLS(安全套接层/传输层安全)加密计算机和服务器之间的流量。这是基本的防御,当流量被拦截时,它可以保证电子商务交易、电子邮件和其他数据无法读取。

  在4月份,“Heartbleed”软件漏洞曝光后,动摇了业界对OpenSSL的信心,“Heartbleed”漏洞允许攻击者加密拦截的流量或者获取数据,例如登录名和密码。

  自那以后,该项目饱受批评,批判者指出该项目的资金和人力都不足,尽管OpenSSL被广泛用于各种软件中。

  根据该项目网站的帖子显示,OpenSSL的路线图是为了反击批评者认为OpenSSL“发展非常缓慢并且孤立”的观点。

  根据该路线图显示,目前该项目计划解决的问题包括缺乏代码审查、不一致的编码风格、糟糕的文档记录、没有平台战略,以及没有定期的发布周期。

  该项目组还计划检查在其漏洞追踪系统中发现的大量问题,很多问题还从来没有经过审查。

  OpenSSL项目遭受的批评推动了LibreSSL项目的推出,该项目一直在修复漏洞以及重新编写OpenSSL代码的糟糕部分。

  谷歌还宣布他们正在开发自己的软件,被称为“BoringSSL”,这更适合其自己的项目。该公司还计划剥离OpenSSL中的不需要的API(应用程序编程接口)和ABI(应用程序二进制接口)。

  谷歌表示他们计划公布LibreSSL和OpenSSL项目发现的漏洞。

  各大科技公司也意识到他们需要支持OpenSSL项目,这些公司将会支持核心基础设施倡议,这个项目旨在帮助资金不足但又非常重要的开源项目。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:绝对的网络自由造成绝对的网络安全攻击