Google fork OpenSSL et crée BoringSSL
Pour réduire les efforts de maintenance d'OpenSSL dans ses produits

Le , par Hinault Romaric, Responsable .NET
Après LibreSSL, voici BoringSSL, un nouveau fork de la boite à outils de chiffrement open source OpenSSL.

Après la tristement célèbre faille Heartbleed dans OpenSSL qui a affecté un nombre important de serveurs, plateformes et applications, l’outil de sécurité largement utilisé sur le Web voit naître de nouvelles alternatives.

Google vient de dévoiler BoringSSL, son implémentation indépendante d’OpenSSL. Alors que l’industrie de l’IT se mobilise sous la houlette de la fondation Linux pour maintenir et auditer le code d’OpenSSL, pourquoi ce choix de Google ?

La firme de Mountain View justifie ce geste par le besoin d’unifier la base de code de la bibliothèque de chiffrement qu’elle utilise dans ses produits. « Nous avons utilisé un certain nombre de correctifs au dessus d’OpenSSL pendant de nombreuses années », explique Adam Langley, ingénieur chez Google, dans un billet de blog. « Certains ont été admis dans le référentiel principal d’OpenSSL, mais plusieurs n’ont pas été validés ou sont encore un peu trop expérimentaux. »

Google dispose actuellement de plus de 70 correctifs développés en interne pour OpenSSL. Maintenir ceux-ci pour l’ensemble de ses produits utilisant OpenSSL (Android, Chrome, etc.), demande beaucoup trop d’effort. « Nous allons passer à un modèle ou nous importons les changements d’OpenSSL, plutôt que d’appliquer nos changements au dessus de celui-ci. », a déclaré Adam Langley.

Cependant, il ne s’agit pas pour Google de remplacer OpenSSL par sa solution, encore moins LibreSSL. La firme va continuer à envoyer des correctifs aux développeurs d’OpenSSL pour les bogues qu’elle trouvera. De plus, Google compte continuer à participer au financement du projet Core Infrastructure Initiative et de la fondation OpenBSD.

Adam Langley explique également que ce choix stratégique permettra à Google de profiter des changements de LibreSSL. Les modifications apportées à BoringSSL seront également mises à la disposition des développeurs de LibreSSL.

Les résultats des travaux de Google sur BoringSSL vont bientôt apparaitre dans les dépôts de Chrome, et la firme espère l’utiliser rapidement dans Android et l’ensemble de ses produits et services.

Source : Billet de blog de Adam Langley

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de air-dex air-dex - Membre émérite https://www.developpez.com
le 23/06/2014 à 13:39
Encore un fork de plus, après LibreSSL.
Avatar de mangobango mangobango - Membre actif https://www.developpez.com
le 23/06/2014 à 13:59
Pour faire court, ils sont passés à Git quoi Fork/Rebase/Pull Request... (en parlant de BoringSSL, pas de LibreSSL, ils sont fourbes ces "nouveaux sujets dans anciens sujets"
Avatar de megahertz77 megahertz77 - Membre régulier https://www.developpez.com
le 23/06/2014 à 15:17
J'ai beau être développeur, je me dis qu'on ne pourra jamais transformer le mot "fork" en verbe. forker ? forkisation ? un nouveau forkalisme ?

Ok un fork peut être un nom commun, mais dans une phrase comme "Le fondateur d'OpenBSD fork OpenSSL pour créer LibreSSL" on ne peut pas utiliser fork sans au moins le conguger "il forke ?"

... Et pourquoi pas Dualiser, c'est simple et plus facile à conjuguer.

Définition de DUALISER : Se scinder en deux parties antagonistes.

Ainsi, même un non initié peut comprendre la structure de la phrase : "Le fondateur d'OpenBSD dualise OpenSSL pour créer LibreSSL".
Avatar de gretro gretro - Membre actif https://www.developpez.com
le 23/06/2014 à 15:29
Citation Envoyé par megahertz77 Voir le message
J'ai beau être développeur, je me dis qu'on ne pourra jamais transformer le mot "fork" en verbe. forker ? forkisation ? un nouveau forkalisme ?
Haha, au Québec, on le fait depuis longtemps transformer des mots anglais en verbes. Par exemple, "se parker" est dit très souvent ici. Au bureau, on utilise TFS et le verbe pour définir l'action d'un Check In est "Checkinner". Même chose avec Git où on peut "puller" et "pusher". Bref, prennez exemple sur nous, on dirait "forker".
Avatar de sizvix sizvix - Membre habitué https://www.developpez.com
le 23/06/2014 à 15:37
"Dualiser" ça me parait trop travailler main dans la main, "mutualisé" , alors que là c'est l'inverse ( ça pourrait être dans le sens de "duel" ) sinon ...
En tout cas, je pense que ça risque juste de diviser ( justement ) un temps les apports de contributions ...
Je ne trouvais pas une bonne idée libreSSL, donc là nonplu.
Avatar de gagouze2 gagouze2 - Membre du Club https://www.developpez.com
le 23/06/2014 à 16:11
Super Google va faire le jeu de la NSA que l'on vas se retrouver avec une back door pour la NSA

<HS>
Qu'en est que Obama virent les huiles de la CIA NSA et le mettent en Prision vue le nombre de délit commis c'est la perpétuité directe
</HS>
Avatar de Algo D.DN Algo D.DN - Membre éprouvé https://www.developpez.com
le 23/06/2014 à 20:58
Citation Envoyé par gagouze2 Voir le message
Super Google va faire le jeu de la NSA que l'on vas se retrouver avec une back door pour la NSA
Ah! c'était pas déjà le cas
Avatar de javan00b javan00b - Membre actif https://www.developpez.com
le 23/06/2014 à 22:00
Citation Envoyé par megahertz77 Voir le message
J'ai beau être développeur, je me dis qu'on ne pourra jamais transformer le mot "fork" en verbe. forker ? forkisation ? un nouveau forkalisme ?

Ok un fork peut être un nom commun, mais dans une phrase comme "Le fondateur d'OpenBSD fork OpenSSL pour créer LibreSSL" on ne peut pas utiliser fork sans au moins le conguger "il forke ?"

... Et pourquoi pas Dualiser, c'est simple et plus facile à conjuguer.

Définition de DUALISER : Se scinder en deux parties antagonistes.

Ainsi, même un non initié peut comprendre la structure de la phrase : "Le fondateur d'OpenBSD dualise OpenSSL pour créer LibreSSL".
Fork est a la fois un nom et un verbe conjugué en anglais... Au Quebec on fais sa en permanence. " Je commit et je push." "je vais branch ta branch". Pas mal tout est en anglais en informatique de toute facon si quelqun utiisais des termes francais je ne comprendrais probablement rien.
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 24/06/2014 à 6:48
[HS]Discuter du Franglais sur un Forum informatique me semble irréaliste[/HS]

Pour ce qui est de la question posée ici, autant je comprenais la démarche dans le cas de LibreSSL, autant j'ai des doutes sur le but poursuivi par Google

Paradoxalement, je pense que c'est plutôt une bonne nouvelle pour OpenSSL. Depuis les mesures prises par la fondation Linux pour sécuriser OpenSSL, celui-ci redevient la référence. Et en plus, il a l'avantage d'être déjà largement déployé et d'avoir des soutiens de poids.

Dans le cas de BoringSSL ... qui va le surveiller pour s'assurer que des failles ne s'y sont pas glissées (que ce soit involontairement ... ou pas) : Google ?
Avatar de tralloc tralloc - Membre actif https://www.developpez.com
le 24/06/2014 à 9:30
Dupliquer me semblerait juste
Contacter le responsable de la rubrique Accueil