Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

OpenSSL sera audité et maintenu à plein temps par deux développeurs

Le , par Arsene Newman

0PARTAGES

2  0 
Plus d’un mois après l’annonce de la création du consortium CII (Core Infrastructure Initiative) en réponse au tollé provoqué par la faille d’OpenSSL Heartbleed, une feuille de route a été émise. Le but de la manœuvre est de financer certains projets libres pour les auditer ainsi que détecter et corriger leurs bugs.

Dirigé par la fondation Linux et réunissant différents géants de l’IT y compris ceux qui sont traditionnellement adeptes des logiciels propriétaires comme Microsoft, le consortium a décidé de financer en priorité le projet OpenSSL en affectant deux développeurs et en finançant un audit qui se fera via OCAP (Open Crypto Audit Project).

Outre OpenSSL, la CII a aussi décidé du financement de deux autres projets : OpenSSH et le protocole NTP (Network Time Protocol). Un conseil consultatif a été également créé pour aider les sociétés participantes aux projets open source, qui ont besoin de support.

« Tout développement logiciel nécessite un support et un financement. Le logiciel open source ne fait pas exception et mérite une attention à hauteur du rôle dominant qu’il joue aujourd’hui dans le support mondial des infrastructures de l’information » a expliqué Jim Zemlin, Directeur exécutif de la fondation Linux, avant de rajouter : « La CII met en œuvre la même approche collaborative qui est utilisée pour le développement logiciel que pour le financement des projets les plus critiques. L’objectif de la CII est de passer d’une réponse réactive à la crise à une approche proactive afin d’identifier et de financer les projets qui sont le plus dans le besoin. Je suis ravi que nous ayons maintenant un forum pour connecter ceux dans le besoin avec ceux disposant des fonds ».

Enfin, la fondation Linux a annoncé que plus de 5.4 millions de dollars ont d’ores et déjà été alloués et que le consortium a été rejoint par d’autres acteurs majeurs de l’IT. Il s’agit notamment d’Adobe, Bloomberg, HP, Huawei et Salesforce.

Source : Annonce Linux Foundation

Et vous ?

Pensez-vous que ce financement sera suffisant pour éviter un nouvel heartbleed ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 06/06/2014 à 10:27
Ces 7 failles n'auraient pas été découvertes sans Heartbleed. A quelque chose malheur est bon...

C'est la NSA qui va commencer à faire la tête : leurs portes secrètes sont murées les unes après les autres !
5  0 
Avatar de Jedai
Expert éminent https://www.developpez.com
Le 04/06/2014 à 15:42
Attention : OpenSSH et OpenSSL ne sont pas comparables, ce n'est pas du tout la même équipe et la qualité du code est bien meilleure dans OpenSSH (maintenu par les types d'OpenBSD) que dans OpenSSL (ce qui ne veut pas dire qu'OpenSSH n'a pas de bugs...).

Mettre tant de sous et de moyens dans OpenSSL en l'état me semble une très mauvaise idée, j'aurais préféré que ces moyens soient mis derrière LibreSSL, le fork d'OpenSSL démarré par les types d'OpenBSD et qui a déjà bien nettoyé le code (voir cette page pour des changements détaillés avec commentaires caustiques et pour une présentation du projet et de ses motivations).

A terme, je pense qu'utiliser C pour programmer ce type de bibliothèque est une stratégie erronée et un langage alternatif qui assure un minimum de sécurité par défaut serait un choix préférable.
1  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 06/06/2014 à 12:42
Citation Envoyé par Traroth2 Voir le message
...C'est la NSA qui va commencer à faire la tête : leurs portes secrètes sont murées les unes après les autres !
Une façon assez originale de voir la chose
1  0 
Avatar de GTSLASH
Inactif https://www.developpez.com
Le 23/06/2014 à 16:51
300 000 serveurs encore vulnérables à Heartbleed
Et combien de routeurs et d'autre périphériques nécessitant une mise à jour manuelle ?
bravo
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 27/06/2014 à 9:54
Citation Envoyé par parrot Voir le message
Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
ChromeBleed pour chrome, et HeartBleed pour firefox. Je n'utilise pas d'autres navigateurs, mais je suis certain que ca existe.
1  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 01/06/2014 à 18:19
Je ne vois pas en quoi un financement même sans limite pourrait supprimer tous les risques. Par contre, si ça permet de multiplier les contrôles, c'est forcément un plus.
0  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 02/06/2014 à 14:02
Ça sera toujours mieux qu'un ou deux bénévoles qui font ça quand ils ont le temps le soir.
1  1 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 02/06/2014 à 15:00
Les projets comme OpenSSL ne sont plus maintenu par 1 ou 2 bénévoles de temps en temps. Cela fait longtemps que des ingénieurs de Google, Facebook ou encore Microsoft, Apple sont payé pour développer des projets Open-source utilisés en interne. Ce dont il est question c'est de maintenir et auditer les projets très critique de manière "permanente". Actuellement, les ingénieur faisait signe quand il trouvaient un bug ou plus souvent une faille dans le protocole et plus souvent encore une nouvelle fonctionnalité a ajouter et l'ajoutait. Certes toute une communauté vérifiait derrière mais ce n'était pas défini précisément et le vieux code était rarement audité.

Il faut savoir qu'aucune entreprise privé ne maintient un code comme OpenSSH/OpenSSL aussi largement utilisé et critique. Certes certaines entreprise travail pour la défense sur des outils plus sécurisé encore mais le plus souvent ils se basent sur OpenSSH/OpenSSL et si ce n'est pas le cas en reprennent l'essence sur des pojet plus difficile a hacké parce que peu utilisés.
0  0 
Avatar de Colmea
Membre du Club https://www.developpez.com
Le 02/06/2014 à 18:36
Bonne initiative ! En espérant qu'elle s'élargisse rapidement à d'autres projets.

Par contre, est-ce que c'est bien nécessaire de mettre deux personnes à plein temps sur OpenSSL ? (vraie question, je ne connais pas assez le projet pour juger de l'utilité de deux devs sur ce projet).
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/06/2014 à 9:26
Citation Envoyé par Colmea Voir le message
Bonne initiative ! En espérant qu'elle s'élargisse rapidement à d'autres projets.

Par contre, est-ce que c'est bien nécessaire de mettre deux personnes à plein temps sur OpenSSL ? (vraie question, je ne connais pas assez le projet pour juger de l'utilité de deux devs sur ce projet).
La première nécessité : éviter les pertes.
0  0