אחרי ש- HeartBleedGate ונהרות הדמויות שנכתבו על המקרה, אותה מנגה עקשנית שהם מפתחי OpenBSD, בראשות תיאו דה ראדט, אמרה "אנחנו הולכים להכין את OpenSSL משלנו עם משחקי מזל וסלוזים." אבל איך מימון לא נותן להם בגין הימורים וחלילים נותרה להם רק המזלג של OpenSSL, אליו הם יקראו LibreSSL ובתחילה זה יהיה עבור OpenBSD 5.6, ואם הכל ילך כשורה, עבור מערכות POSIX אחרות, כולל כמובן לינוקס.
אכן טד אננגסט, מפתח OpenBSD מזכיר כי Heartbleed היה רק אחד מכמה באגים קטסטרופליים של OpenSSL ושהבאג הזה לא היה סיבה למזלג. הבאג שטד מתמקד בו (זה שבסופו של דבר יגרום למזלג) קשור אליו הרשימות החופשיות הפנימיות של OpenSSL ומה ngnix לא עובד בלי אותם רשימות חופשיות. אבל הגרוע ביותר היה חוסר התגובה של OpenSSL מכיוון שכבר יש לבאג זה תיקון מוצע והם עדיין לא החילו אותו. התיקון הזה הוא לשנה לא כלול; OpenSSL, OpenBSD ודביאן מתוקנים את עצמם. אם מפתחי OpenSSL לא יישמו את התיקון, הם פחות ישכנעו אותם לסגת מתמיכתם ב- Visual C ++ 5.0 (מתכנתים C יכולים לצחוק. עם דוגמאות אלה).
אז הם נפטרו מכ -150 אלף שורות קוד וספירה, במיוחד לאחר שהסירו תמיכה ב- VMS, מערכת הפעלה סגורה מתועבת לשרתים שמתחזק היולט פקרד. זה כאילו שמשווים את ה- X לוויילנד.
בינתיים, אני משאיר אותך עם האתר השתוללות ואללה של OpenSSL עם גלריית האימה ש- OpenBSD מנסים לתקן.
הודות למזלגות אלו, תוכנה כמו LibreOffice ו- MariaDB קיבלה את העדפתן (ב- Slackware, הן החליפו את MySQL ב- MariaDB, וברוב ההפצות, כולן החליפו את OpenOffice שלה ב- LibreOffice).
אך המזלגות האלה היו מכיוון שלא רצו שיהיה לו אותו גורל כמו OpenSolaris בידי "בעלים" חדש, זה היה צורך הכרחי, והרוב תמכו במהירות בחלופה (שהיא למעשה יוצריה אך עם שם אחר). זה מכה אותי יותר כמו שהאנשים ב- OpenBSD (עם תיאו "לינוקס מיועדת למפסידים" של ראדט בראשם) אינם שמחים שהם לא כללו את השינויים שלהם. מסיבה זו יש FreeBSD, NetBSD ו- OpenBSD.
אני מסכים איתך ב 100%. אתה לא צריך להיות כל כך קיצוני, או חובב אוהדים.
מצטער, כל מה שיכולתי לחשוב עליו היה "ניקזון, לטחורים".
כנראה שהיום הם כללו את חלקת המחלוקת.
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
כמו פליפה, חברו של מפאלדה אמר:
"הרצון חייב להיות הדבר היחיד שצריך לנקר אותו כשהוא מנופח."
אני לא מבין את ההתלהמות לגבי המזלג הזה, הרי ככה פועלת קהילת הקוד הפתוח עם מזלגות ומיזוגים. להפך, אני מוצא ראוי לשבח שהחליטו להכין חבילה כל כך גדולה.
אני לא מומחה ב- OpenSSL, אך על פי שלוש הנקודות שהוזכרו על ידי דיאזפאן, כלומר "תמיכה במערכת סגורה לחלוטין" (VMS), "קוד מיושן" (Visual C ++ 5.0) "ו"חוסר תמיכה", נראה לי זה לא יכול היה להיות אחרת.
וכן, אמרתי חוסר תמיכה, שהתיקון הנ"ל נכלל היום, זה לא אומר שזה היה יותר משנה ברשימות הבקשות. העובדה ש- OpenBSD, שהיא אחת המערכות היציבות ביותר שם, לא רק בגלל שהיא OpenBSD, אלא גם בגלל שהיא BSD, ודביאן כללו אותה במאגרים שלהם מעידה על כך שהיא לא הייתה תיקון ניסיוני, אלא יציב.
למרבה הצער קרן לינוקס לא רואה את זה ככה והקצתה כסף ל- OpenSSL, שמבחינתי זו טעות, הם צריכים לתמוך ב- LibreSSL, משהו שמתחיל כמעט אפס, ומתחיל את ההרגלים הרעים של OpenSSL, כמו למשל malloc.