Une roadmap pour améliorer la sécurité d’OpenSSL
Après avoir victime de la faille Heartbleed, le projet OpenSSL vient d’établir un calendrier en réponse à des problèmes de longue date, et pour améliorer la communication avec sa communauté.
Les responsables du projet OpenSSL ont publié, la semaine passé, un calendrier énumérant quelques-uns des problèmes accumulés au sein de son organisation avec le temps. Les plus urgents concernent le manque de documentation cohérente du projet - certains bugs ont par exemple été corrigés sans que cela ait été régulièrement enregistré - voire son absence pure et simple, ou encore son caractère erroné.
Le code en lui-même souffre également d’une complexité largement trop élevée, le fruit d’une ouverture à un grand nombre de plateforme, dont certaines, bien qu’encore supportées, ne sont plus pertinentes pour le projet. Sans compter un code au style largement hétérogène et souffrant d’une insuffisance d’examen.
« La présentation actuelle du code est inhabituelle et très différente de celle de tout autre logiciel Open Source, » expliquent les responsables du projet, dans un billet qui détaille la stratégie arrêtée pour améliorer l’examen du code, réduire la complexité de la librairie de chiffrement, et améliorer les pratiques de documentation.
Mais peut-être plus urgent encore, la roadmap souligne que le projet OpenSSL n’a jamais véritablement établi d’approche standard quant à la manière dont les utilisateurs sont informés des alertes de sécurité - un problème qui s’est manifesté de manière particulièrement visible lorsque les organisations du monde entier se sont retrouvées seules à peiner pour gérer la vulnérabilité Heartbleed, dans plupart des cas sans en avoir été alertées. Et d’ici deux mois, OpenSSL prévoit de proposer une documentation sur la production des correctifs de sécurité et les conditions d’alerte des utilisateurs sur d’éventuelles failles.
Toute une multitude de problèmes du projet OpenSSL trouve largement sa source dans son manque de financement. Steve Marquess, co-fondateur de la fondation OpenSSL, a récemment souligné que, avant Heartbleed, l’organisation recevait environ 2000 $ par an de dons, et n’avait jamais généré plus de 1 M$ de chiffre d’affaires annuel. En conséquence, peu de temps-homme a jamais été consacré à un projet clé pour la sécurité du Web.
Une dizaine des plus grands acteurs du Web se sont depuis réveillés, promettant des millions de dollars pour aider les projets Open Source critiques tels qu’OpenSSL. Avec son nouveau calendrier, cela devrait permettre au projet OpenSSL de profiter d’un nouveau souffle.
« Le projet OpenSSL est de plus en plus perçu comme évoluant lentement, et de manière isolée », explique le billet de ses responsables. « Ce calendrier doit tenter de corriger cette situation en définissant des objectifs, et des échéances. »
Adapté de l’anglais par la rédaction.