澳门新葡亰信誉平台游戏Google 产品大部分切换到 BoringSSL

by admin on 2020年5月8日

去年 OpenSSL 的高危漏洞 Heartbleed 曝光之后,Google 创建了 OpenSSL 分支
BoringSSL,但表示无意取代 OpenSSL。现在,BoringSSL 已被绝大部分 Google
产品使用,
包括 Chromium、 Android M和其它Google产品服务。Google开发者David
Benjamin说,BoringSSL和OpenSSL难以在同一进程共存,它们会发生冲突。

澳门新葡亰信誉平台游戏 1

IT之家讯OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。但该项目被曝出的漏洞也相当严重,最近四天内为修复高危漏洞已推出两个补丁,最新补丁用于修复上个补丁的问题。

他表示,他是从一个空目录开始创建OpenSSL的分支
的,大量的OpenSSL组件都没有并入BoringSSL。

OpenSSL安全协议变得不安全后,人们开始关注这个项目的开发团队,比如Linux基金会成立一个新的项目来资助OpenSSL的开发,罗永浩将门票收入捐给OpenSSL,科技巨头们贡献补丁等等。不过也有另起炉灶的。谷歌如今开辟了一个OpenSSL的分支,主要是为了更方便地进行自己的项目的开发,其中包含了谷歌自己定制的多个补丁。项目地址:该项目暂定名称为BoringSSL,谷歌工程师Adam
Langley表示,该项目的目的不是用来取代OpenSSL的,谷歌团队会将BoringSSL项目的改进也贡献到OpenSSL项目中,同时也会吸收OpenSSL项目中的bug修复。对于为何要新建一个OpenSSL分支,Adam
Langley表示,谷歌之前针对OpenSSL开发的补丁,与谷歌产品的API和ABI不兼容,谷歌还需要开发一套补丁的子集,以满足谷歌产品,比如Android、Chrome,现在跨多个代码库的补丁多达70个,太复杂了。因此谷歌希望能够在OpenSSL上做出重要改变,而不是反复修订。谷歌计划先将BoringSSL用于Chromium项目中,以后可能会用到Android和其他内部产品中。Adam
Langley还表示,BoringSSL项目也不一定支持OpenSSL的API和ABI。此外,谷歌的BoringSSL项目也会吸收LibreSSL中的改进。目前,LibreSSL项目已经开始着手检查并改进OpenSSL中有缺陷的代码。Via
PCWorld

在OpenSSL项目曝出高危漏洞Heartbleed之后,OpenBSD创建了分支LibreSSL,谷歌创建了分支BoringSSL,但OpenSSL仍然是最广泛使用的加密软件库。

在创建分支时OpenSSL有 46.8万行代码,而BoringSSL如今也只有20万行代码。

OpenSSL开发者对于产品漏洞的危险性非常明确,但由于漏洞略显复杂,所以第一个补丁未能完全修复问题,不过开发者还是尽全力给出了第二个补丁,IT之家希望该补丁能够解决漏洞问题。

他进一步解释了两者在底层上的差异,包括错误信息、解析、随机数生成等等。

(文/Solidot)    

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图