Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter
Das OpenSSL-Team hat eine Zusammenfassung eines seiner persönlichen Treffen veröffentlicht(öffnet im neuen Fenster) . Demnach haben sich die Beteiligten für einige Neuerungen in der Projektorganisation entschieden. Die für Administratoren wohl wichtigste Neuerung ist, dass Sicherheitsupdates künftig immer an einem Dienstag erscheinen sollen. Ausnahmen davon soll es nur in besonders dringenden Fällen geben.
"Wir halten es nicht für notwendig, dass Menschen bereit sein müssen, ihr Wochenende zu opfern, jedes Mal, wenn eine Sicherheitslücke mit CVE-Nummer veröffentlicht wird" , heißt es dazu als Begründung. Die Vorankündigung zu solchen Updates soll außerdem immer eine Woche vorher veröffentlicht werden. Damit sollten Admins genug Zeit zur Vorbereitung und ein stressfreies Wochenende haben.
Öffentliche Projektdebatten
Das Team hat sich außerdem dazu entschieden, mit OpenSSL-Project(öffnet im neuen Fenster) eine neue Mailingliste einzurichten. Diese soll für alle Interessierten öffentlich einsehbar und auch abonnierbar sein. Berechtigt zum Senden von Nachrichten seien dort aber nur Beitragende zu dem Projekt sowie die Mitglieder des OpenSSL Management Committee (OMC).
So sollen interne Debatten und Entscheidungen besser öffentlich gemacht werden. Allerdings seien nicht alle mit der Entscheidung zu der Mailingliste zufrieden. Deshalb sei diese vorerst auch nur als Experiment zu betrachten, heißt es. Genutzt werden soll diese Liste zudem explizit für die Termindiskussion zu künftigen Veröffentlichungen. Ebenso sollen verschiedene Statusberichte über diese Liste verteilt werden.
Github wird wichtiger
Eine weitere Projektänderung, für die sich das Team entschieden hat, ist, die Nutzung von Github weiter auszubauen. Zusätzlich zu Bug-Reports und Verbesserungswünschen sollen künftig alle großen neuen Code-Bestandteile als sogenannte Issues bei Github diskutiert werden, bevor der Code zur Aufnahme vorgeschlagen wird.
So soll der Community früh die Möglichkeit gegeben werden, neue Funktionen zu diskutieren oder Ideen zu dem Design äußern zu können. Im Zuge dieser Umstellung soll außerdem die Mailingliste OpenSSL-Dev geschlossen werden. Dadurch soll auch die Abtrennung zur OpenSSL-User-Liste deutlich klarer werden.
Das Team hat zudem einige Änderungen seiner Richtlinien in Bezug auf seine Verschlüsselungstechnik beschlossen. So sollen etwa sämtliche unsicheren Konfigurationen explizit zur Kompilierzeit aktiviert werden müssen. Das gelte vorerst zwar nur für kommende Funktionen, soll in künftigen Versionen aber auch für den bestehenden Quellcode umgesetzt werden.
Die OpenSSL-Entwickler bestätigten ebenso erneut, das kommende TLS 1.3 möglichst schnell unterstützen zu wollen. Die Veröffentlichungen dazu hingen aber von der Standardisierung innerhalb der IETF ab. Neue Informationen zu dem geplanten Lizenzwechsel sollen "in einigen Wochen" veröffentlicht werden.