Abo
  • Services:

Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

Artikel veröffentlicht am ,
OpenSSL nutzt künftig verstärkt Github.
OpenSSL nutzt künftig verstärkt Github. (Bild: OpenSSL)

Das OpenSSL-Team hat eine Zusammenfassung eines seiner persönlichen Treffen veröffentlicht. Demnach haben sich die Beteiligten für einige Neuerungen in der Projektorganisation entschieden. Die für Administratoren wohl wichtigste Neuerung ist, dass Sicherheitsupdates künftig immer an einem Dienstag erscheinen sollen. Ausnahmen davon soll es nur in besonders dringenden Fällen geben.

Stellenmarkt
  1. SYNCHRON GmbH, Stuttgart
  2. AKDB, Regensburg

"Wir halten es nicht für notwendig, dass Menschen bereit sein müssen, ihr Wochenende zu opfern, jedes Mal, wenn eine Sicherheitslücke mit CVE-Nummer veröffentlicht wird", heißt es dazu als Begründung. Die Vorankündigung zu solchen Updates soll außerdem immer eine Woche vorher veröffentlicht werden. Damit sollten Admins genug Zeit zur Vorbereitung und ein stressfreies Wochenende haben.

Öffentliche Projektdebatten

Das Team hat sich außerdem dazu entschieden, mit OpenSSL-Project eine neue Mailingliste einzurichten. Diese soll für alle Interessierten öffentlich einsehbar und auch abonnierbar sein. Berechtigt zum Senden von Nachrichten seien dort aber nur Beitragende zu dem Projekt sowie die Mitglieder des OpenSSL Management Committee (OMC).

So sollen interne Debatten und Entscheidungen besser öffentlich gemacht werden. Allerdings seien nicht alle mit der Entscheidung zu der Mailingliste zufrieden. Deshalb sei diese vorerst auch nur als Experiment zu betrachten, heißt es. Genutzt werden soll diese Liste zudem explizit für die Termindiskussion zu künftigen Veröffentlichungen. Ebenso sollen verschiedene Statusberichte über diese Liste verteilt werden.

Github wird wichtiger

Eine weitere Projektänderung, für die sich das Team entschieden hat, ist, die Nutzung von Github weiter auszubauen. Zusätzlich zu Bug-Reports und Verbesserungswünschen sollen künftig alle großen neuen Code-Bestandteile als sogenannte Issues bei Github diskutiert werden, bevor der Code zur Aufnahme vorgeschlagen wird.

So soll der Community früh die Möglichkeit gegeben werden, neue Funktionen zu diskutieren oder Ideen zu dem Design äußern zu können. Im Zuge dieser Umstellung soll außerdem die Mailingliste OpenSSL-Dev geschlossen werden. Dadurch soll auch die Abtrennung zur OpenSSL-User-Liste deutlich klarer werden.

Das Team hat zudem einige Änderungen seiner Richtlinien in Bezug auf seine Verschlüsselungstechnik beschlossen. So sollen etwa sämtliche unsicheren Konfigurationen explizit zur Kompilierzeit aktiviert werden müssen. Das gelte vorerst zwar nur für kommende Funktionen, soll in künftigen Versionen aber auch für den bestehenden Quellcode umgesetzt werden.

Die OpenSSL-Entwickler bestätigten ebenso erneut, das kommende TLS 1.3 möglichst schnell unterstützen zu wollen. Die Veröffentlichungen dazu hingen aber von der Standardisierung innerhalb der IETF ab. Neue Informationen zu dem geplanten Lizenzwechsel sollen "in einigen Wochen" veröffentlicht werden.



Anzeige
Top-Angebote
  1. 762,99€ inkl. Versand (Vergleichspreis 798,04€)
  2. 39,90€ (Vergleichspreis 47,89€)
  3. (u. a. HP Pavilion 32"-WQHD-Monitor für 249€)
  4. 86,99€ (Bestpreis!)

Teebecher 23. Jan 2018

Super clever. Damit die halbe Firma lahmliegt, nur damit die Admins am WE frei haben? Als...

Apfelbrot 22. Jan 2018

Selbst Microsoft hat kritische 0-day fixes veröffentlicht wenn sie verfügbar waren...


Folgen Sie uns
       


Sony E3 2018 Pressekonferenz - Live (techn. Probleme)

Sony hatte während der Übertragung der Pressekonferenz der E3 2018 massive technische Probleme. Abseits davon waren die gezeigten Spiele aber sehr gut. Trotzdem empfehlen wir, den Abschnitt nach The Last of Us bis zu Ghost of Tsushima zu überspringen. (Minute 40-50)

Sony E3 2018 Pressekonferenz - Live (techn. Probleme) Video aufrufen
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Hacker: Was ist eigentlich ein Exploit?
Hacker
Was ist eigentlich ein Exploit?

In Hollywoodfilmen haben Hacker mit Sturmmasken ein ganzes Arsenal von Zero-Day-Exploits, und auch sonst scheinen die kleinen Programme mehr und mehr als zentraler Begriff der IT-Sicherheit verstanden zu werden. Der Hacker Thomas Dullien hingegen versucht sich an einem theoretischen Modell eines Exploits.
Von Hauke Gierow

  1. IoT Foscam beseitigt Exploit-Kette in Kameras
  2. Project Capillary Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
  3. My Heritage DNA-Dienst bestätigt Datenleck von 92 Millionen Accounts

    •  /