Après LibreSSL, voici BoringSSL, un nouveau fork de la boite à outils de chiffrement open source OpenSSL.
Après la tristement célèbre faille Heartbleed dans OpenSSL qui a affecté un nombre important de serveurs, plateformes et applications, l’outil de sécurité largement utilisé sur le Web voit naître de nouvelles alternatives.
Google vient de dévoiler BoringSSL, son implémentation indépendante d’OpenSSL. Alors que l’industrie de l’IT se mobilise sous la houlette de la fondation Linux pour maintenir et auditer le code d’OpenSSL, pourquoi ce choix de Google ?
La firme de Mountain View justifie ce geste par le besoin d’unifier la base de code de la bibliothèque de chiffrement qu’elle utilise dans ses produits. « Nous avons utilisé un certain nombre de correctifs au dessus d’OpenSSL pendant de nombreuses années », explique Adam Langley, ingénieur chez Google, dans un billet de blog. « Certains ont été admis dans le référentiel principal d’OpenSSL, mais plusieurs n’ont pas été validés ou sont encore un peu trop expérimentaux. »
Google dispose actuellement de plus de 70 correctifs développés en interne pour OpenSSL. Maintenir ceux-ci pour l’ensemble de ses produits utilisant OpenSSL (Android, Chrome, etc.), demande beaucoup trop d’effort. « Nous allons passer à un modèle ou nous importons les changements d’OpenSSL, plutôt que d’appliquer nos changements au dessus de celui-ci. », a déclaré Adam Langley.
Cependant, il ne s’agit pas pour Google de remplacer OpenSSL par sa solution, encore moins LibreSSL. La firme va continuer à envoyer des correctifs aux développeurs d’OpenSSL pour les bogues qu’elle trouvera. De plus, Google compte continuer à participer au financement du projet Core Infrastructure Initiative et de la fondation OpenBSD.
Adam Langley explique également que ce choix stratégique permettra à Google de profiter des changements de LibreSSL. Les modifications apportées à BoringSSL seront également mises à la disposition des développeurs de LibreSSL.
Les résultats des travaux de Google sur BoringSSL vont bientôt apparaitre dans les dépôts de Chrome, et la firme espère l’utiliser rapidement dans Android et l’ensemble de ses produits et services.
Source : Billet de blog de Adam Langley
Et vous ?
Qu'en pensez-vous ?
Google fork OpenSSL et crée BoringSSL
Pour réduire les efforts de maintenance d'OpenSSL dans ses produits
Google fork OpenSSL et crée BoringSSL
Pour réduire les efforts de maintenance d'OpenSSL dans ses produits
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !