Pour gérer vos consentements :

Après Heartbleed, Google livre BoringSSL son fork OpenSSL

En avril dernier, une faille de large ampleur touchait l’outil open source OpenSSL, mettant ainsi en péril nombre de logiciels l’exploitant, ainsi que 65 % des sites web sécurisés accessibles à travers le monde (voir « Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette »).

Google présente aujourd’hui son propre dérivé d’OpenSSL, BoringSSL. Un composant qui sera intégré dans le dépôt logiciel du projet open source Chromium, mais qui pourrait également être utilisé prochainement par Android.

L’objectif n’est pas ici de remplacer OpenSSL, mais de disposer d’une offre mieux adaptée aux produits développés par Google. Aujourd’hui, de nombreux patchs d’OpenSSL sont dédiés spécifiquement à Chrome et à Android, rendant ainsi difficile la maintenance de ce projet.

Simplifier l’intégration de correctifs

Avec BoringSSL la charge de travail est inversée : ce sont les modifications appliquées à OpenSSL qui sont remontées vers le projet BoringSSL et non plus les modifications de Google qui sont appliquées à OpenSSL. Cette initiative vise ainsi l’économie de moyens et se veut donc plus lazy (paresseuse) que boring (ennuyeuse). Les développeurs promettent toutefois de continuer à faire redescendre leurs modifications vers le projet OpenSSL.

Notez que dans le même temps, la communauté open source semble s’être enfin réveillée. Les membres du projet OpenBSD travaillent sur leur propre dérivé d’OpenSSL, LibreSSL (voir « Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL »). Les développeurs du projet OpenSSL ont pour leur part multiplié les mises à jour de sécurité, avec deux grosses annonces : celle du 7 avril, liée à la faille Heartbleed, et celle du 5 juin, corrigeant 7 vulnérabilités.


Voir aussi
Quiz Silicon.fr – Fuites de données, petits secrets et grands scandales

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago