GoogleがOpenSSLをフォークした「BoringSSL」を公開
2014年6月22日 18:19
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、Ars Technicaの記事、本家/.)。
Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABIの安定性は保証されず、OpenSSLプロジェクトを置き換えるつもりもないとのこと。Googleでは引き続きOpenSSLにバグ修正を送り、Core Infrastructure InitiativeとOpenBSD Foundationへの援助も続ける。また、LibreSSLとの間でも変更点を互いにインポートすることになるとのこと。この動きに対しては好意的な反応が多くみられ、Theo de Raadt氏もABIの互換性よりも安全性が重要だとして大歓迎している。 スラッシュドットのコメントを読む | セキュリティセクション | Google | セキュリティ | 暗号 | デベロッパー | IT
関連ストーリー:
OpenSSLに新たな脆弱性が発見される 2014年06月06日
Heartbleed脆弱性発表から1か月、現在も脆弱性の影響を受けるサーバーは30万件以上 2014年05月10日
プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む? 2014年05月05日
FreeBSD、3件のセキュリティアドバイザリを公開 2014年05月03日
Opera 12のWindows版、Heartbleedの影響を受けて約10か月ぶりにアップデート 2014年04月29日
OpenBSDがOpenSSLをフォーク、新プロジェクトは「LibreSSL」 2014年04月25日
OpenSSLの脆弱性の影響、Torにも及ぶ 2014年04月23日
三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される 2014年04月20日
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる 2014年04月17日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日
OpenSSLの重大な脆弱性「Heartbleed問題」への対応に追われるネット業界 2014年04月14日
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日