La libreria OpenSSL è da tempo al centro di critiche e discussioni inerenti l’insicurezza del codice, lo stallo nello sviluppo e la scarsa disponibilità di fondi per un progetto fondamentale per l’intero Web. Ora che i fondi ci sono, il team di OpenSSL prova a rispondere alle critiche stilando una roadmap sul futuro della libreria crittografica più usata (e bucata) di Internet.
Sin dall’introduzione, la roadmap viene indicata come un tentativo di mitigare la percezione di OpenSSL come un progetto che progredisce lentamente ed è concentrato esclusivamente su se stesso – “insulare” è il termine adoperato nella roadmap.
OpenSSL è pieno di difetti, ammettono gli sviluppatori, e tra i peggiori la nuova roadmap elenca un backlog pieno di bug che non sono mai stati nemmeno presi in considerazione, una documentazione incompleta o incorretta, la complessità del codice che diventa difficile da gestire, uno stile di programmazione “inconsistente”, nessun piano preciso per la distribuzione delle nuove versioni, nessuna strategia di sicurezza pubblicata e altro ancora.
Il team di OpenSSL intende ovviamente rispondere a tutte queste esigenze pianificando il raggiungimento di specifici “obiettivi di alto livello”, spiega la roadmap, anche se alcuni di tali obiettivi potranno essere raggiunti più facilmente e più velocemente di altri.
Il documento prova a stilare una tabella di marcia che copre archi temporali di mesi e anni, ma è probabile che restituire la fiducia al progetto OpenSSL comporterà uno sforzo ancora maggiore: il numero di fork della libreria non fa che aumentare , e il fatto che le aziende IT non prendano sul serio i rischi posti alla sicurezza dai componenti open source non contribuisce certo a migliorare il quadro.
Alfonso Maruccia
Ti potrebbe interessare
3 lug 2014