OpenSSL 从去年下半年开始的 "HeartBleed" 漏洞开始受到外界(包含非技术界)的关注,作为一项被广泛使用的开源项目,其安全性问题看起来迫在眉睫。
所幸的是,在 Linux 基金会“核心基础设施倡导者(Core Infrastructure Initiative,下称 CII)”的帮助下,老牌代码安全审计机构 NCC Group 将开始参与到 OpenSSL 的代码审计当中。
OpenSSL 因为对 SSL (Secure Sockets Layer)和 TLS (Transport Layer Security) 提供支持而成为与 Apache 和 Nginx 比肩的重要网络安全库(Web security library)。但 "HeartBleed" 和近期的 "FREAK" 两个波及面极广的安全漏洞让这个为安全而生的开源项目变得有些尴尬。
本次为 OpenSSL 提供赞助的 CII 其设立初衷就是为资金短缺的基础项目提供支持,在此之前的案例还有 NTP (Network Time Protocol)和 OpenSSH。
据 NCC 首席安全工程师的描述,OpenSSL 已经对代码进行了重构,新的代码已经足够稳定并且很快会取代现有版本。而 NCC 在代码审计中将会专注于 TLS stacks 方面的安全问题,包含 protocol flow、state transitions 和 memory management。除 NCC Group 之外,其它学术机构、商业分析公司、认证机构和个人都会参与 OpenSSL 各方面代码审计。
此前,Google 主导了一个名为 BoringSSL 的 OpenSSL 分支项目,改进后者的同时也对它贡献代码。