Langley dijo que Google había estado usando una serie de parches en OpenSSL con muchas posibilidades de ser aceptados en el principal repositorio de código de la biblioteca criptográfica de código abierto. Sin embargo, otros son demasiado experimentales para encajar con la estabilidad de programación en la aplicación y las interfaces binarias (API y ABI) de OpenSSL.
"...Como Android, Chrome y otros productos han comenzado a necesitar de estos parches, las cosas se han vuelto muy complejas. El esfuerzo que supone mantener a todos estos parches (y hay más de 70 en el momento) a través de múltiples bases de código, puede llegar a ser demasiado." Dijo Langley.
Otro derivado de OpenSSL, creado después Heartbleed por el equipo de OpenBSD es LibreSSL. Langley dijo que BoringSSL importará algunos cambios de LibreSSL y que también ellos podrán intermabiar código y datos del proyecto de Google.
Para este fin, Google ha vuelto a licenciar OpenSSL con sus anteriores contribuciones bajo la licencia de Internet Software Consortium, según lo solicitado por quienes mantienen LibreSSL.
El nombre BoringSSL es "pretencioso y sin embargo no es una promesa", escribió Langley. Langley también dijo que Google seguirá financiando la Iniciativa de Infraestructura Central (Core Infrastructure Initiative), en mayo de este año anunció que apoyaría el proyecto OpenSSL a raíz del problema de seguridad Heartbleed.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT