Začenja se revizija kode OpenSSL

Matej Huš

15. mar 2015 ob 10:53:54

Začenja se največja revizija odprte kode v zgodovini, v sklopu katere bodo pregledali 447.247 vrstic kode v 14 programskih jezikih, ki sestavljajo aktualno verzijo OpenSSL. Projekt, ki so ga napovedali že lani, se začenja skoraj leto dni po odkritju hude ranljivosti heartbleed. Zaradi lanskih dogodkov se je začel tudi razvoj razvejitve (fork) LibreSSL ter Googlovega BoringSSL. Številni analitiki sicer menijo, da je revizija kode OpenSSL nepotrebno zapravljanje časa in da bi bilo bolje vse skupaj napisati na novo - torej investirati v LibreSSL - a CII vztrajajo, da je revizija kode pomembna. Dodajajo, da počno še marsikaj drugega, vse v želji poskrbeti, da bo infrastrukturno pomembna odprta koda brez ranljivosti.

V Core Infrastructure Initiative (CII), ki jo je ustanovila Fundacija Linux z namenom financiranja pregleda kode pomembnih infrastrukturnih projektov, se je nabralo že tri milijone dolarjev. V CII sodelujejo številni velikani, med njimi tudi Microsoft, Amazon, Facebook, Google. Projekt Open Crypto Audit, ki organizira in koordinira celotno revizijo, je udeležen tudi pri pregledu kode TrueCrypta (ki se sicer ne posodablja več). V prihodnosti bodo preverili tudi OpenSSH in Network Time Protocol (NTP), ki sta oba izredno pomembna gradnika internetne infrastrukture.

Minuli mesec se je končala predpriprava kode OpenSSL na revizijo. Kot pojasnjuje Matt Caswell, je bila koda v zelo slabem stanju, nesistematična, nenavadna in slabo formalno definirana, zaradi česar je bilo branje in vzdrževanje bistveno teže. Nastal je celo priročnik, kako naj bo oblikovana koda za OpenSSL (kot recimo obstajajo slogovna navodila za kodo v Linuxovem jedru). Ko so končali preoblikovanje kode v bolj berljivo verzijo, je sedaj na vrsti njena revizija. Prve rezultate pričakujemo septembra.