Na de HeartBleedGate en de rivieren van karakters die op de behuizing geschreven zijn, zei die koppige manga die de OpenBSD-ontwikkelaars zijn, geleid door Theo de Raadt, "Laten we onze eigen OpenSSL maken met kansspelen en sletten." Maar hoe financiering geeft ze niet voor gokken en sletten bleven ze alleen over met de vork van OpenSSL, die ze zullen noemen LibreSSL en dat het in eerste instantie voor OpenBSD 5.6 zal zijn en, als alles goed gaat, voor andere POSIX-systemen, inclusief natuurlijk Linux.
Inderdaad, Ted Unangst, OpenBSD-ontwikkelaar, vermeldt dat Heartbleed dat wel was slechts een van de vele jaarlijkse catastrofale OpenSSL-bugs en dat deze bug geen reden was om te splitsen. De bug waar Ted zich op concentreert (degene die de vork zou veroorzaken) heeft te maken met de interne OpenSSL freelists en wat ngnix werkt niet zonder die freelists. Maar het ergste was het gebrek aan reactie van OpenSSL aangezien deze bug al een voorgestelde patch heeft en ze deze nog niet hebben toegepast. Die patch is voor een jaar niet inbegrepen; OpenSSL, OpenBSD en Debian hebben het zelf gepatcht. Als de OpenSSL-ontwikkelaars de patch niet toepasten, zouden ze hen minder overtuigen om hun ondersteuning voor Visual C ++ 5.0 in te trekken (C-programmeurs kunnen lachen met deze voorbeelden).
Dus hebben ze ongeveer 150 regels code verwijderd en geteld, vooral nadat ze de ondersteuning voor VMS, een afschuwelijk gesloten besturingssysteem voor servers dat Hewlett Packard onderhoudt, hebben verwijderd. Het is alsof X wordt vergeleken met Wayland.
Ondertussen laat ik je achter met de site OpenSSL Valhalla Rampage met de galerij van horror die de OpenBSD-gebruikers proberen te corrigeren.
Dankzij deze forks hebben software zoals LibreOffice en MariaDB hun voorkeur gehad (in Slackware hebben ze MySQL vervangen door MariaDB, en in de meeste distributies hebben ze allemaal hun OpenOffice vervangen door LibreOffice).
Maar die vorken waren omdat ze niet hetzelfde lot als OpenSolaris wilden hebben in de handen van een nieuwe 'eigenaar', het was een geval van dringende noodzaak, en de meerderheid steunde snel het alternatief (wat in feite de makers zijn, maar met een andere naam). Dit riekt me meer als de mensen bij OpenBSD (met Theo "Linux is voor verliezers" door Raadt aan het roer) zijn niet blij dat ze hun wijzigingen niet hebben doorgevoerd. Om die reden zijn er FreeBSD, NetBSD en OpenBSD.
Ik ben het 100% met je eens. Je hoeft niet zo extreem te zijn, of een fanboy.
Sorry, het enige dat ik kon bedenken was "Nikzon, voor aambeien."
Blijkbaar bevatten ze vandaag de dag de controverse.
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
Zoals Felipe, de vriend van Mafalda, zei:
"De wil moet het enige zijn dat, wanneer hij leegloopt, geprikt moet worden."
Ik begrijp de tirade over deze vork niet, dit is tenslotte hoe de open source-community werkt, met forks en merges. Integendeel, ik vind het prijzenswaardig dat ze besloten hebben zo'n groot pakket te maken.
Ik ben geen expert in OpenSSL, maar volgens de drie punten die Diazepan noemt, is dat "Ondersteuning voor een volledig gesloten systeem" (VMS), "Verouderde code" (Visual C ++ 5.0) "en" Gebrek aan ondersteuning " , lijkt het mij dat het niet anders had kunnen zijn.
En ja, ik zei gebrek aan ondersteuning, dat de bovengenoemde patch vandaag is opgenomen, betekent niet dat het meer dan een jaar op de verzoeklijsten stond. Het feit dat OpenBSD, dat een van de meest stabiele systemen is die er zijn, niet alleen omdat het OpenBSD is, maar ook omdat het BSD is en Debian het in hun repositories hebben opgenomen, geeft aan dat het geen experimentele patch was, maar stabiel.
Helaas ziet de Linux Foundation het niet zo en heeft ze geld toegewezen aan OpenSSL, wat, naar mijn mening, een vergissing is, ze zouden LibreSSL moeten ondersteunen, iets dat bijna nul begint en de slechte gewoonten van OpenSSL begint, zoals het voorbeeld van malloc.