Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

Artikel veröffentlicht am ,
OpenSSL nutzt künftig verstärkt Github.
OpenSSL nutzt künftig verstärkt Github. (Bild: OpenSSL)

Das OpenSSL-Team hat eine Zusammenfassung eines seiner persönlichen Treffen veröffentlicht. Demnach haben sich die Beteiligten für einige Neuerungen in der Projektorganisation entschieden. Die für Administratoren wohl wichtigste Neuerung ist, dass Sicherheitsupdates künftig immer an einem Dienstag erscheinen sollen. Ausnahmen davon soll es nur in besonders dringenden Fällen geben.

"Wir halten es nicht für notwendig, dass Menschen bereit sein müssen, ihr Wochenende zu opfern, jedes Mal, wenn eine Sicherheitslücke mit CVE-Nummer veröffentlicht wird", heißt es dazu als Begründung. Die Vorankündigung zu solchen Updates soll außerdem immer eine Woche vorher veröffentlicht werden. Damit sollten Admins genug Zeit zur Vorbereitung und ein stressfreies Wochenende haben.

Öffentliche Projektdebatten

Das Team hat sich außerdem dazu entschieden, mit OpenSSL-Project eine neue Mailingliste einzurichten. Diese soll für alle Interessierten öffentlich einsehbar und auch abonnierbar sein. Berechtigt zum Senden von Nachrichten seien dort aber nur Beitragende zu dem Projekt sowie die Mitglieder des OpenSSL Management Committee (OMC).

So sollen interne Debatten und Entscheidungen besser öffentlich gemacht werden. Allerdings seien nicht alle mit der Entscheidung zu der Mailingliste zufrieden. Deshalb sei diese vorerst auch nur als Experiment zu betrachten, heißt es. Genutzt werden soll diese Liste zudem explizit für die Termindiskussion zu künftigen Veröffentlichungen. Ebenso sollen verschiedene Statusberichte über diese Liste verteilt werden.

Github wird wichtiger

Eine weitere Projektänderung, für die sich das Team entschieden hat, ist, die Nutzung von Github weiter auszubauen. Zusätzlich zu Bug-Reports und Verbesserungswünschen sollen künftig alle großen neuen Code-Bestandteile als sogenannte Issues bei Github diskutiert werden, bevor der Code zur Aufnahme vorgeschlagen wird.

So soll der Community früh die Möglichkeit gegeben werden, neue Funktionen zu diskutieren oder Ideen zu dem Design äußern zu können. Im Zuge dieser Umstellung soll außerdem die Mailingliste OpenSSL-Dev geschlossen werden. Dadurch soll auch die Abtrennung zur OpenSSL-User-Liste deutlich klarer werden.

Das Team hat zudem einige Änderungen seiner Richtlinien in Bezug auf seine Verschlüsselungstechnik beschlossen. So sollen etwa sämtliche unsicheren Konfigurationen explizit zur Kompilierzeit aktiviert werden müssen. Das gelte vorerst zwar nur für kommende Funktionen, soll in künftigen Versionen aber auch für den bestehenden Quellcode umgesetzt werden.

Die OpenSSL-Entwickler bestätigten ebenso erneut, das kommende TLS 1.3 möglichst schnell unterstützen zu wollen. Die Veröffentlichungen dazu hingen aber von der Standardisierung innerhalb der IETF ab. Neue Informationen zu dem geplanten Lizenzwechsel sollen "in einigen Wochen" veröffentlicht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
i4
BMW lässt sich am Berg nicht updaten

Die Besitzerin eines BMW i4 hat die Fehlermeldung entdeckt, ihr Parkplatz sei zu steil für ein Update der Bordsoftware.

i4: BMW lässt sich am Berg nicht updaten
Artikel
  1. Deutsche Post: Woche startet mit erneuten Warnstreiks
    Deutsche Post
    Woche startet mit erneuten Warnstreiks

    Die Gewerkschaft Verdi hat am Montag und Dienstag weitere Arbeitsniederlegungen angekündigt.

  2. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  3. Entwickler: ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen
    Entwickler
    ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen

    Google hat ChatGPT mit Fragen aus seinem Entwickler-Bewerbungsgespräch gefüttert. Die KI könne demnach eine Einsteigerposition erhalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • MindStar: Intel Core i7 13700K 429€, Powercolor RX 6800 549€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /