LibreSSL, nuovo fork per rendere sicuro OpenSSL, giudicato "irreparabile"

Theo de Raadt, fondatore di OpenBSD, non risparmia le critiche su OpenSSL in seguito all'affare Heartbleed, e crea LibreSSL, un fork che fa discutere sin dai suoi primi attimi di vita.

Dal team di OpenBSD giunge voce di un’iniziativa che scatena subito un putiferio: sono state gettate le basi di LibreSSL, una nuova suite che dovrebbe sostituire OpenSSL dopo il disastro Heartbleed.

Theo de Raadt risulta subito essere “protagonista” di questa spaccatura. Lo vedete impegnato in una discussione sulla qualità e sicurezza del codice del suo OS OpenBSD nel filmato in cima a questo articolo. De Raadt non è una personalità molto facile da gestire. Le polemiche sono apparentemente il suo pane quotidiano, e sempre per restare nel tema della “qualità” del coding, il suo giudizio sull’attuale condizione di OpenSSL è una stroncatura totale:


    “Il nostro gruppo ha rimosso metà del source tree di OpenSSL in una settimana. Erano degli avanzi, spazzatura. Il modello Open Source pretende che la gente sia capace di leggere il codice, dipende completamente dalla chiarezza. Quello là non è una base di codice chiara, perché la loro community [quella di OpenSSL] non ha alcun rispetto per la chiarezza. Risulta evidente che quando si accumula tutta questa morchia, allora ci troviamo di fronte a un gap culturale. Io non ho preso questa decisione […] si è presa da sola, nel nostro gruppo di sviluppatori allargato.”

Il “gap culturale” di cui De Raadt va parlando è quello tra la comunità OpenBSD e quella di OpenSSL, mentre la “decisione” si riferisce alla creazione di un fork di OpenSSL che è stato battezzato LibreSSL.

Cos’è LibreSSL


Per il momento non ci sono molte informazioni su questo nuovo pacchetto per la comunicazione sicura dagli altissimi ideali e caratterizzato dall’ambizione spettacolare di sostituire il software che fa da spina dorsale alla protezione dei dati su Internet.

C’è una paginetta decisamente minimale, che non proclama neppure la missione, solo uno stizzito: “Siamo troppo impegnati a cancellare e riscrivere il codice per occuparci di scrivere pagine web. Grazie mille”.

Prevedibilmente le risorse attuali sono tutte rivolte all’implementazione per OpenBSD. LibreSSL sarà portato agli altri OS quando il team sarà soddisfatto della riscrittura e rielaborazione del codice, e soprattutto quando sarà assemblato un team dedicato al porting. Le risorse economiche arrivano tutte dalla fondazione OpenBSD. Questo dovrebbe cambiare breve, se Internet tiene alla propria sicurezza, almeno secondo De Raadt, che accusa le compagnie della classifica Fortune 1000 di pretendere assistenza e supporto dalla community Open Source senza aver mai versato nemmeno un centesimo o dedicato cinque minuti a scrivere stringhe di codice crittografico per il beneficio di tutti.

Quando è stato chiesto a De Raadt di entrare nel dettaglio sulla “morchia” citata nel suo vibrante j’accuse, il celebre coder non si è certo fatto negare. Il codice “morto” riguarda in particolare il supporto per WIN32 e VMS, roba antica e deprecata che doveva essere rimossa da anni ma nessuno del team OpenSSL si è preoccupato di “amputare”. Ci sono stringhe di codice che sono inutili da almeno 12 anni. Secondo quello che dice de Raadt è stato finora possibile eliminare 90.000 stringhe di codice in C senza danneggiare il supporto alle API usate oggi.

Inutile dire che le prossime settimane saranno vitali per scoprire di più sul futuro di LibreSSL, ma anche su quello di OpenSSL.

Via | Ars Technica

    Non dimenticate di scaricare la Blogo App, per essere sempre aggiornati sui nostri contenuti. E’ disponibile su App Store e su Google Play ed è gratuita.
  • shares
  • +1
  • Mail