OpenSSL legt Sanierungsplan vor

Nach der fatalen Heartbleed-Lücke, durch die Angreifer auf sensible Speicherbereiche von Servern und Clients zugreifen konnten, wurde ein ganzer Rattenschwanz weiterer Mängel in dem Krypto-Framework OpenSSL bekannt. Diese Ereignisse nehmen sich die dahinterstehenden Entwickler nun offenbar zu Herzen; eine Roadmap soll dabei helfen, den Entwicklungsprozess besser zu organisieren.

Eines der Probleme, die auf der Roadmap aufgeführt sind, ist der Rückstau im Bug-Tracking-System. Ein großer Teil der Tickets sei schon seit Jahren unbearbeitet. Diese sollen ab sofort innerhalb weniger Tage beantwortet werden. Tickets, die sich auf keine aktuell unterstütze Version beziehen, werden geschlossen. Auch der lücken- und fehlerhaften Dokumentation, der Komplexität der OpenSSL-Bibliothek und dem uneinheitlichen Coding-Stil haben die Entwickler den Kampf angesagt.

Ferner soll der Code künftig von einer externen Instanz geprüft werden. Darüber hinaus will das Team genau definieren, wie Sicherheits-Patches entwickelt werden und wer um Fall der Fälle über den Fix informiert werden muss. Die meisten Punkte sollen innerhalb eines Jahres umgesetzt werden.

Auch Google und die OpenBSD Foundation haben sich auf die Fahne geschrieben, ein besseres OpenSSL zu entwickeln. Beide entwickeln Ableger, in denen die Unzulänglichkeiten des Krypto-Frameworks beseitigt werden sollen. (rei)