Kryptobibliothek OpenSSL bekommt einen Patch-Dienstag

Die Entwickler der Kryptobibliothek OpenSSL haben sich dazu entschieden, Sicherheitsupdates ab sofort nur noch an Dienstagen zu veröffentlichen. Das soll verhindern, dass sich Administratoren das Wochenende um die Ohren schlagen müssen, um kritische OpenSSL-Patches einzuspielen. Eine Ankündigung der Patches soll ab sofort an dem vorausgehenden Dienstag (also genau eine Woche früher) erfolgen. Ausnahmen bestätigen allerdings die Regel: Ganz schlimmer Lücken, für die bereits Angriffe kursieren sollen trotzdem so schnell wie möglich gestopft werden.

Der Dienstag wird zunehmend arbeitsreicher für Admins. Neben Microsoft, die den zweiten Dienstag im Monat als Patchday etabliert haben, veröffentlichen auch eine Reihe anderer Firmen ihre Sicherheitsupdates an diesem Tag (unter anderem Adobe). Oracle veröffentlicht Patches an dem Dienstag, der dem 17. Tag der Monate Januar, April, Juli und Oktober eines Jahres am nähesten kommt.

Als Konsequenz der Heartbleed-Lücke stellten sich beim OpenSSL-Projekt viele Änderungen ein, die zum Teil kontrovers diskutiert wurden. Nun haben die Entwickler ebenfalls beschlossen, GitHub ab sofort aktiver zu nutzen. Neben Bugs und Verbesserungsvorschlägen sollen auch alle größeren Änderungen an der OpenSSL-Codebase ab sofort auf dieser Plattform diskutiert werden. Damit will man es der kompletten Entwicklergemeinde ermöglichen, an der Verbesserung der Bibliothek mitzuarbeiten. Man wolle weg von kleinteiligen Diskussionen einzelner Code-Zeilen und hin dazu, dass die Entwickler das große Ganze besser im Auge behalten. (fab)