Ein ganzer Rattenschwanz weiterer Mängel wurde in dem Krypto-Framework OpenSSL nach der fatalen Heartbleed-Lücke, durch die Angreifer auf sensible Speicherbereiche von Clients und Servern zugreifen konnten, bekannt. Die dahinterstehenden Entwickler nehmen sich diese Ereignisse nun offenbar zu Herzen; dabei soll eine Roadmap helfen, den Entwicklungsprozess besser zu organisieren.

Ein, auf der Roadmap aufgeführtes, Problem ist der Rückstau im Bug-Tracking-System. Seit Jahren sei ein großer Teil der Tickets schon unbearbeitet. Ab sofort sollen diese innerhalb weniger Tage beantwortet werden. Sich auf keine aktuell unterstütze Version beziehende Tickets werden geschlossen. Außerdem haben die Entwickler der Komplexität der OpenSSL-Bibliothek, dem uneinheitlichen Coding-Stil und der lücken- und fehlerhaften Dokumentation den Kampf angesagt.

Der Code soll von einer externen Instanz künftig geprüft werden. Wie Sicherheits-Patches entwickelt werden will das Team darüber hinaus genau definieren und wer im Fall der Fälle über den Fix informiert werden muss. Innerhalb eines Jahres sollen die meisten Punkte umgesetzt werden.

Die OpenBSD Foundation und Google haben sich ebenfalls auf die Fahne geschrieben, ein besseres OpenSSL zu entwickeln. Beide entwickeln Ableger, in denen sie die Unzulänglichkeiten des Krypto-Frameworks beseitigen wollen.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE