Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ

Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ 1

サイトがじわじわ来ますね…。

OpenSSLのヘマHeartbleedなんてバグができてしまい、コードを虱潰しに当たっていたテオ・デ・ラート氏率いるOpenBSDプロジェクトが「こりゃ修復不能だ」と判断、フォーク版「LibreSSL」の開発に乗り出しました。

Ars Technicaからのメール取材に対し、ラート氏はOpenSSLのダメっぷりをこのように書いています。

うちのグループでは1週間かけてOpenSSLのソースツリーのうち半分を削除した。どれも食い残しをそのまま散らかしてるみたいな不要なところさ。

オープンソースのモデルでは、コードがわかる人間が頼みだ。透明性が頼み。ところがこれがまったくクリアなコードベースじゃないわけよね。なぜってあいつらのコミュニティは透明性なんてちっとも気にしちゃいないから。だからこういう不正な書き換えが積もり積もっていくと、カルチャーのギャップが生まれてしまうんだ。これは自分の判断じゃない...もっと大きな開発者のグループが勝手に判断したことだっていう、認識の隔たりがね。

今回Heartbleedの脆弱性については関係者全員に同時に通達が回ったわけではなく、GoogleやCloudFlareとかだけ先に事前通達が回ってたこともわかってます。こういう特別扱いも氏に言わせれば「不透明」なんでしょう。今後はOpenSSLの自浄を待たずに自分たちの手でOpenSSLのフォーク版を一から構築していくことになります。

それにしても気になるのは「不要な食い残し」という部分ですけど、これって具体的になんなんでしょうね? 氏はこう答えていますよ。

VMSサポートの数千行。太古のWIN32サポートの数千行。今やWindowsもPOSIXっぽいAPIあるんだし、ソケット用に特別に何か用意する必要ない。FIPSサポートの数千行…これがあるとほぼ自動的に暗号化がダウングレードされちゃうからね。[...] あとはOpenSSL開発グループが12年ぐらい前に廃止するつもりで書いたAPIの数千行、これもまだ残ってた。

あと「Cコードも9万行削除した」と、ZDNetには語ってます。それでも機能には全く影響なくて、ちゃんと正常に動いてるそうですから、それだけOpenSSLはひどかったということに…。

開発はまだ途中。先立つものは$ですが、これは一応、ベアボーン(骨と皮)なサイトを立ち上げて募集しています。このLibreSSLプロジェクト公式サイトがまたすごいのです。上には「今はコードの削除と書き直しで忙しくてまともなサイトつくってる暇もありません」とあり、下には「このページはウェブのヒップスターをイラッとさせるため科学的にデザインしました。コミックサンス書体とBlink要素の点滅を今すぐ止めたい人は寄付してね」とあります。

誰かこの偉大なプロジェクトに愛の手を。

image by Marsmettnn Tallahasse under Creative Commons license

source: Libre SSL via Ars Technica, はてブ

Jamie Condliffe - Gizmodo US[原文

(satomi)