Efter HeartBleedGate och floderna av karaktärer skrivna om fallet sa den envisa mangan som är OpenBSD-utvecklarna, ledd av Theo de Raadt, "Vi ska skapa vår egen OpenSSL med hasardspel och sluts." Men hur finansiering ger dem inte för spel och slampor var de kvar med bara gaffeln av OpenSSL, som de kommer att ringa LibreSSL och att det initialt kommer att vara för OpenBSD 5.6 och, om allt går bra, för andra POSIX-system, inklusive naturligtvis Linux.
I sanning nämner OpenBSD-utvecklaren Ted Unangst att Heartbleed var bara en av flera årliga OpenSSL katastrofala buggar och att detta fel inte var en anledning att gaffla. Felet som Ted fokuserar på (det som skulle orsaka gaffeln) har att göra med de interna OpenSSL-frilisterna och vad ngnix fungerar inte utan dessa frilistor. Men det värsta var bristen på svar från OpenSSL eftersom detta fel redan har en föreslagen korrigeringsfil och de inte har tillämpat den ännu. Den lappen är för ett år ingår inte; OpenSSL, OpenBSD och Debian har patchat det själva. Om OpenSSL-utvecklarna inte använde plåstret, skulle de mindre övertyga dem om att dra tillbaka sitt stöd för Visual C ++ 5.0 (C-programmerare kan skratta med dessa exempel).
Så de blev av med cirka 150 tusen rader kod och räknade, särskilt efter att ha tagit bort stöd för VMS, ett avskyvärt stängt operativsystem för servrar som Hewlett Packard underhåller. Det är som om X jämförs med Wayland.
Under tiden lämnar jag dig med webbplatsen OpenSSL Valhalla Rampage med skräckgalleriet som OpenBSD-dem försöker korrigera.
Tack vare dessa gafflar har programvara som LibreOffice och MariaDB haft sina preferenser (i Slackware har de ersatt MySQL med MariaDB, och i de flesta distributioner har de alla ersatt OpenOffice med LibreOffice).
Men dessa gafflar berodde på att de inte ville ha samma öde som OpenSolaris i händerna på en ny "ägare", det var ett fall av tvingande behov, och majoriteten stödde snabbt alternativet (som faktiskt är dess skapare men med ett annat namn). Detta slår mig mer som att folket på OpenBSD (med Theo "Linux är för förlorare" av Raadt vid rodret) inte är nöjda med att de inte inkluderade sina ändringar. Av den anledningen finns FreeBSD, NetBSD och OpenBSD.
Jag håller 100% med dig. Du behöver inte vara så extrem eller fanboy.
Tyvärr, allt jag kunde tänka mig var "Nikzon, för hemorrojder."
Tydligen idag inkluderade de kontroversen.
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
Som Felipe sa Mafaldas vän:
"Viljan måste vara det enda som, när den tappas ut, behöver stickas."
Jag förstår inte rant om denna gaffel, trots allt fungerar öppen källkodsgrupp, med gafflar och sammanslagningar. Tvärtom tycker jag att det är prisvärt att de bestämde sig för att göra ett så stort paket.
Jag är ingen expert på OpenSSL, men enligt de tre punkter som Diazepan nämner är det "Stöd för ett helt stängt system" (VMS), "Föråldrad kod" (Visual C ++ 5.0) "och" Brist på support " , Jag tror att det inte kunde ha varit annorlunda.
Och ja, jag har sagt brist på stöd, att ovannämnda patch har inkluderats idag, betyder inte att det var mer än ett år i begäran listor. Det faktum att OpenBSD, som är ett av de mest stabila systemen där ute, inte bara för att det är OpenBSD utan också för att det är BSD, och Debian har inkluderat det i sina förråd, indikerar att det inte var en experimentell patch, men stabil.
Tyvärr ser Linux Foundation inte det på det sättet och tilldelade pengar till OpenSSL, som, från min synvinkel är ett misstag, de borde stödja LibreSSL, något som börjar nästan noll, som startar de dåliga vanorna med OpenSSL, som exempel på malloc.