Abo
  • Services:

Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

Artikel veröffentlicht am ,
OpenSSL nutzt künftig verstärkt Github.
OpenSSL nutzt künftig verstärkt Github. (Bild: OpenSSL)

Das OpenSSL-Team hat eine Zusammenfassung eines seiner persönlichen Treffen veröffentlicht. Demnach haben sich die Beteiligten für einige Neuerungen in der Projektorganisation entschieden. Die für Administratoren wohl wichtigste Neuerung ist, dass Sicherheitsupdates künftig immer an einem Dienstag erscheinen sollen. Ausnahmen davon soll es nur in besonders dringenden Fällen geben.

Stellenmarkt
  1. L&W CONSOLIDATION GmbH, Köln, Düsseldorf, Hamburg, München, Langenfeld
  2. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

"Wir halten es nicht für notwendig, dass Menschen bereit sein müssen, ihr Wochenende zu opfern, jedes Mal, wenn eine Sicherheitslücke mit CVE-Nummer veröffentlicht wird", heißt es dazu als Begründung. Die Vorankündigung zu solchen Updates soll außerdem immer eine Woche vorher veröffentlicht werden. Damit sollten Admins genug Zeit zur Vorbereitung und ein stressfreies Wochenende haben.

Öffentliche Projektdebatten

Das Team hat sich außerdem dazu entschieden, mit OpenSSL-Project eine neue Mailingliste einzurichten. Diese soll für alle Interessierten öffentlich einsehbar und auch abonnierbar sein. Berechtigt zum Senden von Nachrichten seien dort aber nur Beitragende zu dem Projekt sowie die Mitglieder des OpenSSL Management Committee (OMC).

So sollen interne Debatten und Entscheidungen besser öffentlich gemacht werden. Allerdings seien nicht alle mit der Entscheidung zu der Mailingliste zufrieden. Deshalb sei diese vorerst auch nur als Experiment zu betrachten, heißt es. Genutzt werden soll diese Liste zudem explizit für die Termindiskussion zu künftigen Veröffentlichungen. Ebenso sollen verschiedene Statusberichte über diese Liste verteilt werden.

Github wird wichtiger

Eine weitere Projektänderung, für die sich das Team entschieden hat, ist, die Nutzung von Github weiter auszubauen. Zusätzlich zu Bug-Reports und Verbesserungswünschen sollen künftig alle großen neuen Code-Bestandteile als sogenannte Issues bei Github diskutiert werden, bevor der Code zur Aufnahme vorgeschlagen wird.

So soll der Community früh die Möglichkeit gegeben werden, neue Funktionen zu diskutieren oder Ideen zu dem Design äußern zu können. Im Zuge dieser Umstellung soll außerdem die Mailingliste OpenSSL-Dev geschlossen werden. Dadurch soll auch die Abtrennung zur OpenSSL-User-Liste deutlich klarer werden.

Das Team hat zudem einige Änderungen seiner Richtlinien in Bezug auf seine Verschlüsselungstechnik beschlossen. So sollen etwa sämtliche unsicheren Konfigurationen explizit zur Kompilierzeit aktiviert werden müssen. Das gelte vorerst zwar nur für kommende Funktionen, soll in künftigen Versionen aber auch für den bestehenden Quellcode umgesetzt werden.

Die OpenSSL-Entwickler bestätigten ebenso erneut, das kommende TLS 1.3 möglichst schnell unterstützen zu wollen. Die Veröffentlichungen dazu hingen aber von der Standardisierung innerhalb der IETF ab. Neue Informationen zu dem geplanten Lizenzwechsel sollen "in einigen Wochen" veröffentlicht werden.



Anzeige
Hardware-Angebote
  1. ab 399€

Teebecher 23. Jan 2018

Super clever. Damit die halbe Firma lahmliegt, nur damit die Admins am WE frei haben? Als...

Apfelbrot 22. Jan 2018

Selbst Microsoft hat kritische 0-day fixes veröffentlicht wenn sie verfügbar waren...


Folgen Sie uns
       


Pocophone F1 - Test

Das Pocophone F1 gehört zu den günstigsten Topsmartphones auf dem Markt - nur 330 Euro müssen Käufer für das Gerät bezahlen. Dafür bekommen sie eine Dualkamera und einen Snapdragon 845. Wer mit ein paar Kompromissen leben kann, macht mit dem Smartphone nichts falsch.

Pocophone F1 - Test Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Informationsfreiheitsbeauftragte Algorithmen für Behörden müssen diskriminierungsfrei sein
  2. Innotrans KI-System identifiziert Schwarzfahrer
  3. USA Pentagon fordert KI-Strategie fürs Militär

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

    •  /