Um grande auditoria do protocolo onipresente segurança web OpenSSL está definido para iniciar sob uma US $ 1,2 milhão compromisso da indústria para endurecer tecnologias open source.
OpenSSL é o primeiro fora o posto no quadro da Iniciativa Core Infrastructure da Fundação Linux dada a sua popularidade e falta de revisão de segurança em profundidade.
"OpenSSL foi revisto e melhorado pela comunidade acadêmica, empresas analisador estático comerciais, organizações de validação e avaliação indivíduo ao longo dos anos, mas esta auditoria pode ser o maior esforço para revê-lo, e é definitivamente o mais público", diz o equipamento de segurança Cryptography Serviços de pós anunciando sua participação na auditoria.
"Graves falhas no OpenSSL causar toda a Internet para atualizar, e, no caso de falhas como Heartbleed e EarlyCCS, atualizar em uma corrida.
"Nós sabemos que com o que pode ser o mais alto perfil de auditoria realizada em um pedaço de código aberto de software, a internet está assistindo."
A auditoria organizado pelo Projeto de Auditoria Abrir Crypto vai primeiro se concentrar em TLS pilhas examinar o fluxo de protocolo, as transições de estado, de alto perfil algoritmos criptográficos, e gerenciamento de memória, diz a empresa.
Ele cobrirá uma quantidade suficiente da base de código para ser um "componente útil" no esforço para garantir OpenSSL.
Até agora, alguns US $ 3 milhões foi riscado até no âmbito da Iniciativa Core Infrastructure, graças à contribuição de Amazon, Google, Microsoft, Cisco e Facebook, todos os quais se comprometeram US $ 100.000 por ano, durante três anos.
Os primeiros resultados da auditoria são esperados em torno de Julho. A auditoria começa na parte de trás do OpenSSL código revisões concluídas no mês passado lançou engenheiro Matt Caswell diz na constatação de que a codificação foi "muito incomum", "inconsistente aplicada" e não formalmente definida.
A equipe também está examinando as costeletas de segurança de populares virou pária possível plataforma de criptografia TrueCrypt. Verificações iniciais descoberto alguns erros, mas nenhum sinal de um backdoor e testes temido estão agora a ser executado contra geradores de números aleatórios, conjuntos de cifras e algoritmos de chave. ®
Nenhum comentário:
Postar um comentário