Mea Culpa et remèdes au menu de la roadmap d'OpenSSL

Après la faille Heartbleed, la librairie de chiffrement Open Source OpenSSL vient de publier sa feuille de route pour répondre aux préoccupations des utilisateurs.

La vague médiatique sur l’affaire Heartbleed est retombée, même si quelques 300 000 serveurs restent encore vulnérables. Le projet Open Source de librairie de chiffrement, OpenSSL, vient de publier une feuille de route pour résoudre les problèmes.

Au début du document, les initiateurs du projet avouent qu’OpenSSL est perçu comme un projet évoluant lentement et de manière isolée. Ils promettent donc avec cette roadmap de corriger cette vision en fixant des objectifs d’amélioration dans des délais définis.

La feuille de route dresse dans un premier temps les différentes récriminations. Ces dernières vont de la reconnaissance d’une complexité dans l’arborescence du code source, l’absence de cohérence dans le style du code (en raison d’un grand nombre de personnes qui ont travaillé sur le code) et de processus de révision du code. En conséquence, le volume de code a augmenté et il est difficile à maintenir. Sur ce dernier point, aucune stratégie n’a été définie pour les différentes plateformes sur lesquelles OpenSSL a été porté. Par ailleurs, la documentation est mise sur la sellette en étant au mieux inégale et au pire inexacte. Le projet souffre aussi de ne pas avoir une vision et un plan d’action à long terme (pas de calendrier de release et publication de nouvelles versions sporadiques). L’aspect sécurité comprend les mêmes lacunes et nos confrères de The Register rappelle que le fondateur d’OpenBSD, Theo de Raadt a accusé les développeurs d’OpenSSL de garder des informations importantes sur les correctifs de sécurité.

Des remèdes encore en pleine maturation

Une fois cet acte de contrition (et d’absolution ?) réalisée, la feuille de route continue sur les remèdes à apporter aux différentes carences en fixant des délais d’intervention. Ainsi, sur la documentation le travail promet d’être long, 1 an, notamment sur les API (y compris les plus anciennes). D’autres devraient être plus rapides comme la mise en place d’un système de révision de code prévue pour durer 3 mois. En matière de stratégie de release, aucune fréquence n’est annoncée, mais l’équipe se laisse 3 mois de réflexion pour élaborer un planning sur les nouvelles versions, ainsi que sur les mises à jour de sécurité. Concernant la plateforme, FreeBSD et Linux ont été retenus comme OS principal pour le développement. OpenSSL va mener en parallèle des efforts sur de nouvelles fonctionnalités comme le support d’IPv6, des threads POSIX et Win32, mais aussi la prise en charge des puces ARMv8 et Power8.

Cette publication de roadmap intervient quelques semaines après la création de la Core Infrastructure Initiative qui fédère beaucoup d’acteurs du web pour renforcer et sécuriser certains projets Open Source critiques. Placée sous la férule de la Fondation Linux, cette association née après la découverte de la faille Heartbleed, a donné ses priorités. Sans surprise, OpenSSL arrive en tête des projets placés sous surveillance et sous assistance financière.

OpenSSL encore touché par des failles de sécurité

Lire aussi : Open Source : Red Hat Enterprise Linux 8 met l’accent sur les conteneurs