Iz OpenSSL tudi BoringSSL
Matej Huš
22. jun 2014 ob 18:30:06
Dva meseca po najavi paketa LibreSSL, ki nadomešča OpenSSL oziroma predstavlja razvejitev (fork), bomo dobili še tretjo varianto. Google je najavil BoringSSL, ki predstavlja Googlovo lastno inačico.
Spomnimo, da je plaz vprašanj o zanesljivosti OpenSSL-a in njegove alternative verzije sprožila ranljivost Heartbleed, ki je od marca leta 2012 do letošnjega leta omogočala pridobitev neposrednega dostopa do pomnilnika v strežniku in razkritje podatkov v njem, vključno s šifrirnimi ključi. To je poleg žolčnih debat sprožilo nastanek LibreSSL in zaposlitev večjega števila razvijalcev in vzdrževalcev "starega" OpenSSL. Sedaj pa prihaja še Googlov BoringSSL.
Google pravi, da BoringSSL ne bo povzročal težav v trenutnem razmerju moči. Še vedno bodo finančno podpirali Core Infrastructure Iniciative, ki financira dodatne razvijalce za OpenSSL. Adam Langley iz Googla, ki bo v Googlu skrbel za BoringSSL, pravi, da si bodo sposojali tudi kodo iz LibreSSL, hkrati pa bodo vzpodbujali tudi izmenjavo v nasprotni smeri. Dodaja, da za razliko od LibreSSL ne gradijo nadomestka za OpenSSL in ne bodo zagotavljali popolne združljivosti API/ABI. Ali bo Chromium uporabljal BoringSSL, še ni znano. Namen BoringSSL je torej drugačen kakor LibreSSL in ne predstavlja neposredne konkurence, ampak dopolnitev in dodaten pristop.