Na het na dik twee jaar ontdekken van het lek in OpenSSL (Heartbleed gedoopt), is een groep ontwikkelaars bezig de gaten te dichten. De open SSL-versie krijgt ook een andere naam: LibreSSL.
Een groep rond Theo de Raadt, maker van het open besturingssysteem OpenBSD, heeft op basis van OpenSSL LibreSSL gemaakt. De Raadt vindt dat de (vrijwillige) ontwikkelaars van OpenSSL er een potje van gemaakt hebben. “Het openbron-model hangt af van het aantal mensen dat de code kan lezen”, zegt De Raadt tegen webstek Ars Technica. ”
Er is een nogal gammele LibreSSL-stek ingericht. “We zijn nu te druk met het schrappen en herschrijven van de code om een mooie webpagina te maken.” De groep maakt zaken openbaar die in haar opinie niet deugen aan OpenSSL.
Het lek in Heartbeat, communicatieonderdeel van SSL, zou door een fout van een (=1) programmeur zijn ontstaan. Volgens de vrijwilligersorganisatie rond OpenSSL is een gebrek aan fondsen de belangrijkste oorzaak van dat een fout zo lang onopgemerkt bleef. Steve Marquess van die organisatie zegt dat ze het moesten doen met minder dan 1 miljoen dollar per jaar. Er is een voltijdswerknemer. Dat zouden er volgens Marquess minstens 6 moeten zijn. Hoor ik hier het failliet van de openbronbeweging aangekondigd?
Bron: the Guardian