Nach SSL-GAU Heartbleed: LibreSSL sieht sich auf dem richtigen Weg
Die Macher des OpenSSL-Forks ziehen nach 30 Tagen Entwicklung eine positive Bilanz. Man habe viel "schrecklichen Code" gesehen, aber auch viele Fortschritte gemacht. Trotzdem gäbe es noch viel zu tun, wenn man einen neuen Heartbleed-GAU verhindern wolle.
- Fabian A. Scherschel
Etwa einen Monat nach der Ankündigung des OpenSSL-Ablegers ziehen die Entwickler von LibreSSL eine positive Bilanz: Man habe aus den Fehlern des Mutterprojektes gelernt und sei auf dem Wege der Besserung. Am Quellcode von LibreSSL würde "von einer ganzen Zahl von OpenBSD-Entwicklern" ausgiebig gearbeitet. Das Projekt hat es sich zum Ziel gesetzt, den OpenSSL-Code zu entschlacken und bekannte Probleme mit der SSL-Bibliothek zu beheben. Das soll einen weiteren GAU wie Heartbleed verhindern.
Schrecklicher Code
In seinem Vortrag auf der Konferenz BSDCan 2014 fand der Leiter der OpenBSD Foundation, Bob Beck, deutliche Worte für das Mutterprojekt. Wichtige Fehler seien zu lange ignoriert worden und die LibreSSL-Entwickler hätten viel "schrecklichen Code" gesehen. Doch auch die OpenBSD-Entwickler haben laut Beck Mitschuld – man habe von der schlechten Code-Qualität gewusst und weg geschaut. Zu hoffen, dass Bugs von Upstream-Entwicklern irgendwann repariert würden, sei ein Fehler gewesen.
Es gibt noch viel zu tun
Mit LibreSSL gehen die Entwickler viele der Bugs aus dem Ticketsystem von OpenSSL direkt an. Außerdem wurde viel aus dem Quellcode gestrichen: Unter anderem von den Entwicklern als überflüssig deklarierte Subsysteme und die Kompatibilität mit veralteter Software. Der Quellcode sei jetzt kleiner, aufgeräumt und lesbarer.
Man wolle in Zukunft auch die API der Bibliothek verkleinern und weitere überflüssige Bestandteile entfernen, sagte Beck in seinem Bericht. Für die Finanzierung der Entwicklungsarbeit sucht die OpenBSD Foundation immer noch nach Sponsoren. Die Linux Foundation habe auf eine Anfrage hin finanzielle Unterstützung für LibreSSL erst einmal abgelehnt. (fab)