OpenSSL Project公开新的路线图 致力提高OpenSSL安全性

OpenSSL Project是颇为流行的开源加密软件的“守护者”，不过Heartbleed漏洞让该组织饱受批评，为此，该组织制定了一个路线图，用以解决一些长期存在的问题，并改进与其社区的沟通。

目前，OpenSSL Project已将这个路线图发布到OpenSSL网站。该路线图列出了多年来企业遇到的一些问题，其中最紧迫的问题在于该项目缺乏一致的文档记录（例如有些漏洞已经被修复，但从来没有被记录到跟踪系统中），此外，OpenSSL软件某些区域的文档记录已经丢失或者有错误。

根据路线图显示，该代码库本身也存在问题。该项目扩展到现在并不相关的几个平台，而各种开发人员在该软件上使用不同的编码风格工作，导致该代码库过于复杂。并且，代码也缺乏定期的审查。

“目前的代码布局是异乎寻常的、怪异的，不同于其他任何开源软件，”这个OpenSSL Project路线图制定了一项战略，用以确保定期代码审查、减小加密库的复杂性、并改善文档记录的做法。

该路线图指出，也许最紧迫的问题是：对于如何向用户发出安全警告，OpenSSL Project从来没有制定过一个标准的方法。当世界各地的企业在争先恐后地解决Heartbleed漏洞时，这一问题浮出了水面，他们都没有事先收到警告。在两个月内，openSSL计划提供相关文档以确定如何生成安全修复程序、以及用户是否会收到有关更新的预先通知。

OpenSSL存在的很多问题，在很大程度上可能是由于该项目缺乏资金。OpenSSL软件基金会联合创始人Steve Marquess日前表示，在Heartbleed漏洞之前，该企业每年只收到大约2000美元的捐款，并且其年收入从来没有超过100万美元。因此，在这个支撑网络安全的项目中，几乎没有投入多少人工时。

最近，十几家世界上最大的高科技公司出资数百万美元来资助像OpenSSL这样的关键开源项目，这可能有助于减小资金缺口。从这些资金注入和其最新发布的路线图来看，OpenSSL Project似乎要经历一次必要的修整。

“越来越多的人认为OpenSSL Project发展非常缓慢，且愈发孤立，”不过从公布的OpenSSL路线图来看，“其会将有待改进的目标及完成目标所需的时间表确定下来，以解决这个问题。”