Llegamos a ustedes gracias a:



Noticias

OpenSSL Project publica hoja de ruta para enfrentar críticas

[04/07/2014] El OpenSSL Project está planeando varios cambios para asegurar su componente de seguridad, usado en millones de computadoras en toda Internet.

OpenSSL es una librería de códigos de código abierto que cifra las comunicaciones entre una computadora y un servidor que usa SSL/TLS (Secure Sockets Layer/Transport Layer Security). Es una defensa fundamental para mantener las transacciones de comercio electrónico, correo electrónico y otros datos no leíbles si el tráfico es interceptado.

La confianza en OpenSSL se quebró en abril luego de que se descubriera una vulnerabilidad de dos años de antigüedad llamada Heartbleed, que podía permitir a un atacante descifrar el tráfico interceptado u obtener datos como los logins y contraseñas de los servidores.

El proyecto desde entonces ha quedado bajo intenso escrutinio, en donde las críticas señalan que el proyecto fue pobremente financiado y tuvo poco personal a pesar del amplio uso de OpenSSL en diferentes tipos de software.

La hoja de ruta de OpenSSL tiene como objetivo refutar la visión de que se mueve lentamente y es insular, de acuerdo a una entrada en el sitio web del proyecto.

Entre los problemas actuales que el proyecto planea reparar se encuentra la falta de revisión del código, un inconsistente estilo en el código, pobre documentación, sin estrategia de plataforma y sin un ciclo regular de lanzamientos, de acuerdo a la hoja de ruta.

El grupo también planea observar una gran cantidad de temas que surgieron en su sistema de rastreo de bugs, muchos de los cuales nunca han sido revisados.

La frustración con el OpenSSL Project condujo al lanzamiento de una variante del proyecto llamado LibreSSL, que ha estado reparando bugs y volviendo a escribir las partes disparejas del código OpenSSL.

Google también anunció que estaba desarrollando su propia variante del software llamada BoringSSL que es más apropiado para sus propios proyectos. La compañía planea separar las API (application programming interfaces) y ABI (application binary interfaces) que no se requieran en OpenSSL.

Google afirmó que planeaba compartir información sobre los bugs que encuentre en LibreSSL y en el OpenSSL Project.

Las grandes empresas tecnológicas también se dieron cuenta de la necesidad de apoyar el OpenSSL Project, que las compañías van a soportar con la Core Infrastructure Initiative, un proyecto diseñado para ayudar a proyectos de código abierto con poco financiamiento pero importantes.
Jeremy Kirk, IDG News Service