Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Google propose sa propre version d’OpenSSL

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Google propose désormais son propre fork d’OpenSSL, la librairie OpenSource la plus populaire en la matière et dont une faille d’implémentation est à l’origine de la récente attaque HeartBleed (et qui a également connu avant cela son lot de vulnérabilités…)

Baptisé BoringSSL, il s’agit initialement du side-project d’un ingénieur qui souhaitait nettoyer le code source d’OpenSSL tel que le géant l’utilisait. Mais après avoir appliqué plus de 70 patches, dont certains n’ont pas été ré-intégrés à la branche officielle, le travail de maintenance lors de la publication de chaque nouvelle version d’OpenSSL s’est révélé trop important : il a donc été décidé de créer une branche indépendante (un fork).

Selon Adam Langley, l’ingénieur à l’origine du projet, BoringSSL ne fait aucune promesse de compatibilité avec OpenSSL : il ne l’est pas à l’origine et il est probable qu’au fil du temps la différence entre les deux bases de code ne fasse que s’accroitre. Mieux : maintenant qu’il est libéré de la nécessité de rester proche de son modèle, le projet envisage d’intégrer des éléments venus d’une autre librairie SSL, LibreSSL, elle-même déjà un fork d’OpenSSL !

Le nom, enfin, a de quoi surprendre. Mais sur le blog de l’éditeur Sophos, qui publie un billet au sujet de BoringSSL, Mark Stockley propose une explication convaincante : selon lui, pour qu’une technologie soit fiable elle doit être prévisible et ennuyeuse, un peu à l’image d’un ascenseur… Bref, So boring, mais tellement fiable ?

Plus d’information : 
Le code source sur GoogleSource


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Google propose sa propre version d’OpenSSL

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.