「Heartbleed での情報公開プロセスには問題があった ― OpenBSD が OpenSSL のフォーク「LibreSSL」プロジェクトをスタート」

Web拍手：

「Heartbleed での情報公開プロセスには問題があった ― OpenBSD が OpenSSL のフォーク「LibreSSL」プロジェクトをスタート - インターネットコム」
http://internetcom.jp/webtech/20140423/4.html

「LibreSSL」
http://www.libressl.org/

「

Heartbleed に関するニュースが伝えられたとき、わたしは、OpenBSD 創設者である Theo de Raadt 氏にコンタクトした。De Raadt 氏は率直な物言いで、常に興味深いコメントを提供してくれる人物だ。

私は Heartbleed 脆弱性の情報公開プロセスに興味を抱いていた。Google や CloudFlare などの限られたサービスは、Heartbleed 脆弱性について事前に通知を受けていたという。だが多くのサービスは脆弱性についての事前通知を受けることはなかった。彼らが Hearbleed 脆弱性について知らされたのは、一般の人々や、アタッカーたちと同じタイミングだったのだ。この情報公開プロセスは、数百万のエンドユーザーを危険に曝すことになった。

Heartbleed による被害総額は、5億ドル（約513億円）にのぼるとの推計もある。

OpenBSD にも OpenSSL が採用されている。De Raadt 氏は事前通知を受けたのだろうか？ 同氏は次のように述べた。

「我々には、事前通知は届かなかった。私がパブから戻ったとき、4人の開発者がすでにこの問題の対策にあたっているのを知った。私は彼らの作ったパッチが ABI に影響を与えないことを確認し、パッチに署名をして公開した」

OpenBSD は、OpenSSL がプロセスを正すのを待つのではなく、自分達の手で新たな暗号化ライブラリを構築していくことを決めた。

LibreSSL はスタートしたばかり。当面の目標は OpenBSD 5.6 に LibreSSL を組み込むことだが、いずれは他の OS にも採用されていくだろう。

私は LibreSSL が、Red Hat や Debian ベースの Linux ディストリビューションにも採用されるのではないかと見ている。

」

「

Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。

」