• IT-Karriere:
  • Services:

Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

Artikel veröffentlicht am ,
OpenSSL nutzt künftig verstärkt Github.
OpenSSL nutzt künftig verstärkt Github. (Bild: OpenSSL)

Das OpenSSL-Team hat eine Zusammenfassung eines seiner persönlichen Treffen veröffentlicht. Demnach haben sich die Beteiligten für einige Neuerungen in der Projektorganisation entschieden. Die für Administratoren wohl wichtigste Neuerung ist, dass Sicherheitsupdates künftig immer an einem Dienstag erscheinen sollen. Ausnahmen davon soll es nur in besonders dringenden Fällen geben.

Stellenmarkt
  1. Stadt Ingolstadt, Ingolstadt
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Bonn-Röttgen

"Wir halten es nicht für notwendig, dass Menschen bereit sein müssen, ihr Wochenende zu opfern, jedes Mal, wenn eine Sicherheitslücke mit CVE-Nummer veröffentlicht wird", heißt es dazu als Begründung. Die Vorankündigung zu solchen Updates soll außerdem immer eine Woche vorher veröffentlicht werden. Damit sollten Admins genug Zeit zur Vorbereitung und ein stressfreies Wochenende haben.

Öffentliche Projektdebatten

Das Team hat sich außerdem dazu entschieden, mit OpenSSL-Project eine neue Mailingliste einzurichten. Diese soll für alle Interessierten öffentlich einsehbar und auch abonnierbar sein. Berechtigt zum Senden von Nachrichten seien dort aber nur Beitragende zu dem Projekt sowie die Mitglieder des OpenSSL Management Committee (OMC).

So sollen interne Debatten und Entscheidungen besser öffentlich gemacht werden. Allerdings seien nicht alle mit der Entscheidung zu der Mailingliste zufrieden. Deshalb sei diese vorerst auch nur als Experiment zu betrachten, heißt es. Genutzt werden soll diese Liste zudem explizit für die Termindiskussion zu künftigen Veröffentlichungen. Ebenso sollen verschiedene Statusberichte über diese Liste verteilt werden.

Github wird wichtiger

Eine weitere Projektänderung, für die sich das Team entschieden hat, ist, die Nutzung von Github weiter auszubauen. Zusätzlich zu Bug-Reports und Verbesserungswünschen sollen künftig alle großen neuen Code-Bestandteile als sogenannte Issues bei Github diskutiert werden, bevor der Code zur Aufnahme vorgeschlagen wird.

So soll der Community früh die Möglichkeit gegeben werden, neue Funktionen zu diskutieren oder Ideen zu dem Design äußern zu können. Im Zuge dieser Umstellung soll außerdem die Mailingliste OpenSSL-Dev geschlossen werden. Dadurch soll auch die Abtrennung zur OpenSSL-User-Liste deutlich klarer werden.

Das Team hat zudem einige Änderungen seiner Richtlinien in Bezug auf seine Verschlüsselungstechnik beschlossen. So sollen etwa sämtliche unsicheren Konfigurationen explizit zur Kompilierzeit aktiviert werden müssen. Das gelte vorerst zwar nur für kommende Funktionen, soll in künftigen Versionen aber auch für den bestehenden Quellcode umgesetzt werden.

Die OpenSSL-Entwickler bestätigten ebenso erneut, das kommende TLS 1.3 möglichst schnell unterstützen zu wollen. Die Veröffentlichungen dazu hingen aber von der Standardisierung innerhalb der IETF ab. Neue Informationen zu dem geplanten Lizenzwechsel sollen "in einigen Wochen" veröffentlicht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Teebecher 23. Jan 2018

Super clever. Damit die halbe Firma lahmliegt, nur damit die Admins am WE frei haben? Als...

Apfelbrot 22. Jan 2018

Selbst Microsoft hat kritische 0-day fixes veröffentlicht wenn sie verfügbar waren...


Folgen Sie uns
       


The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
    Pinephone im Test
    Das etwas pineliche Linux-Phone für Bastler

    Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
    Ein Test von Sebastian Grüner

    1. Linux Mehr Multi-Touch-Support in Elementary OS 6
    2. Kernel Die Neuerungen im kommenden Linux 5.9
    3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11

    Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
    Vivo X51 im Test
    Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

    Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
    Ein Test von Tobias Költzsch

    1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
    2. Jetpack Compose Android bekommt neues UI-Framework
    3. Google Android bekommt lokale Sharing-Funktion

      •  /