Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
22.06.2014

BoringSSL: «скучный» форк OpenSSL от Google

«Долгие годы мы использовали большое количество патчей поверх OpenSSL. Некоторые из них принимались в основной репозиторий OpenSSL, но многие признавали несовместимыми с гарантированной поддержкой API и стабильностью ABI в OpenSSL, — пишет Адам Лэнгли, один из главных криптографов в компании Google, — а многие были сложноватыми. Но по мере того, как Android, Chrome и другие продукты начали требовать определённого использования этих патчей, ситуация становилась более сложной. Приходилось прикладывать слишком много усилий, чтобы поддерживать все эти патчи (их уже более 70 штук) в разных кодовых базах».

В общем, компания Google приняла решение сделать официальный форк OpenSSL. Это означает, что вместо попыток залатать OpenSSL своими патчами они сконцентрируются на ведении собственного проекта, в который импортируют необходимые фрагменты OpenSSL.

Так началась работа над BoringSSL («скучный SSL»). Адам Лэнгли обещает, что скоро тот появится в репозитории Chromium. Со временем, именно его начнут использовать для Android и на серверах компании Google.

BoringSSL не даёт гарантий поддержки API и стабильности ABI, в отличие от OpenSSL. Да и вообще, Google не собирается позиционировать BoringSSL как полноценную альтернативу этому свободному проекту. Компания продолжит отправлять новые патчи в OpenSSL, если найдёт баги, и собирается заимствовать новые важные фичи оттуда. К тому же, Google продолжит выступать спонсором OpenSSL в рамках инициативы Core Infrastructure Initiative, как и обещала.

В то же время, разработчики BoringSSL чувствуют себя свободными импортировать код из «более близкого по духу» проекта LibreSSL, а авторам LibreSSL предлагают импортировать изменения из BoringSSL.

Количество форков OpenSSL стало ещё больше. Наверное, это к лучшему. Тео де Раадт из OpenBSD/LibreSSL очень рад такому решению Google. Нужно думать о безопасности, а не совместимости с бинарным интерфейсом приложений, уверен Тео. Пользуясь случаем, он опроверг слухи о том, что LibreSSL трудно будет портировать на Linux.