Après le HeartBleedGate et les rivières de personnages écrits sur le boîtier, ce manga têtu que sont les développeurs d'OpenBSD, dirigé par Theo de Raadt, a déclaré: «Faisons notre propre OpenSSL avec des jeux de hasard et des salopes». Mais comment le financement ne leur donne pas pour le jeu et les salopes, il ne leur restait plus que le fork d'OpenSSL, qu'ils appelleront LibreSSL et qu'au départ ce sera pour OpenBSD 5.6 et, si tout se passe bien, pour d'autres systèmes POSIX, y compris bien sûr Linux.
En vérité, le développeur d'OpenBSD Ted Unangst mentionne que Heartbleed était juste l'un des nombreux bogues catastrophiques annuels d'OpenSSL et que ce bug n'était pas une raison de bifurquer. Le bug sur lequel Ted se concentre (celui qui finirait par provoquer la fourchette) a à voir avec les freelists internes d'OpenSSL et de quoi ngnix ne fonctionne pas sans ces freelists. Mais le pire était le manque de réponse d'OpenSSL puisque ce bogue a déjà un correctif proposé et qu'ils ne l'ont pas encore appliqué. Ce patch est pour un an non inclus; OpenSSL, OpenBSD et Debian l'ont eux-mêmes corrigé. Si les développeurs OpenSSL n'appliquaient pas le correctif, ils allaient moins les convaincre de retirer leur support pour Visual C ++ 5.0 (les programmeurs C peuvent rire avec ces exemples).
Ils se sont donc débarrassés d'environ 150 XNUMX lignes de code et de comptage, surtout après avoir supprimé le support de VMS, un abominable système d'exploitation fermé pour serveurs que Hewlett Packard maintient. C'est comme si X était comparé à Wayland.
En attendant, je vous laisse avec le site OpenSSL Valhalla Rampage avec la galerie d'horreur que les OpenBSD tentent de corriger.
Grâce à ces fourches, des logiciels comme LibreOffice et MariaDB ont eu leur préférence (dans Slackware, ils ont remplacé MySQL par MariaDB, et dans la plupart des distributions, ils ont tous remplacé leur OpenOffice par LibreOffice).
Mais ces fourchettes étaient parce qu'elles ne voulaient pas avoir le même sort qu'OpenSolaris aux mains d'un nouveau «propriétaire», c'était un cas de nécessité impérative, et la majorité a rapidement soutenu l'alternative (qui en fait sont ses créateurs mais avec un autre nom). Cela me fait plus penser que les gens d'OpenBSD (avec Theo de Raadt "Linux is for Losers" à la barre) ne sont pas contents de ne pas avoir inclus leurs changements. Pour cette raison, il existe FreeBSD, NetBSD et OpenBSD.
Je suis d'accord avec vous à 100%. Vous n'avez pas besoin d'être si extrême ou fanboy.
Désolé, tout ce à quoi je pouvais penser était «Nikzon, pour les hémorroïdes».
Apparemment, aujourd'hui, ils ont inclus le patch de la controverse.
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
Comme Felipe, l'ami de Mafalda l'a dit:
"La volonté devrait être la seule chose qui, une fois dégonflée, doit être piquée."
Je ne comprends pas la diatribe à propos de cette fourchette, après tout, c'est ainsi que fonctionne la communauté open source, avec des fourchettes et des fusions. Au contraire, je trouve louable qu’ils aient décidé de fabriquer un paquet aussi volumineux.
Je ne suis pas un expert en OpenSSL, mais selon les trois points évoqués par Diazepan, c'est-à-dire «Support pour un système complètement fermé» (VMS), «Code obsolète» (Visual C ++ 5.0) »et« Manque de support », il me semble que il ne pouvait en être autrement.
Et oui, j'ai dit manque de support, que le patch ci-dessus a été inclus aujourd'hui, cela ne veut pas dire qu'il faisait plus d'un an sur les listes de requêtes. Le fait qu'OpenBSD, qui est l'un des systèmes les plus stables, non seulement parce qu'il s'agit d'OpenBSD, mais aussi parce que c'est BSD, et que Debian l'ait inclus dans leurs référentiels indique qu'il ne s'agissait pas d'un patch expérimental, mais stable.
Malheureusement, la Fondation Linux ne le voit pas de cette façon et a alloué de l'argent à OpenSSL, ce qui, de mon point de vue est une erreur, devrait supporter LibreSSL, quelque chose qui commence presque à zéro, commençant les mauvaises habitudes d'OpenSSL, comme l'exemple de malloc.