หลังบั๊ก Heartbleed ที่ส่งผลกระทบเป็นวงกว้างต่อเซิร์ฟเวอร์จำนวนมากในเดือนเมษายนปีที่แล้ว บริษัทจำนวนมากระดมทุนเพื่อให้ OpenSSL มีทรัพยากรเพียงพอต่อการพัฒนา อีกส่วนหนึ่งก็จัดสรรมาให้โครงการ Open Crypto Audit เพื่อตรวจสอบโค้ดซอฟต์แวร์เข้ารหัส ตอนนี้ทาง OpenSSL และ Cryptography Services (CS) ผู้เข้าตรวจสอบก็พร้อมจะเริ่มกระบวนการตรวจสอบแล้ว
สาเหตุที่กระบวนการตรวจสอบเริ่มต้นช้าจนเกือบครบปีหล ักพบบั๊ก Heartbleed เป็นเพราะคุณภาพโค้ดของ OpenSSL เองที่มีฟอร์ตแมตโค้ดไม่มาตรฐาน แนวทางการเขียนต่างกันไปทำให้อ่านและทำความเข้าใจได้ ยาก ทางโครงการดึงเอาสไตล์โค้ดมาจากลินุกซ์และปรับเป็นสไ ตล์ของตัวเอง จากนั้นจึงเริ่มปรับโค้ดทั้งหมดจนเสร็จเมื่อเดือนกุมภาพันธ์ที่ผ่านมา
ทาง CS ระบุว่าที่ผ่านมา OpenSSL ถูกตรวจสอบโดยภายนอกอยู่ตลอดเวลาอยู่แล้ว แต่ทีมงานคาดว่าครั้งนี้จะเป็นการตรวจสอบจากภายนอกคร ั้งใหญ่ที่สุด ครอบคลุมชุด TLS ทั้งระบบ และการจัดการหน่วยความจำ นอกจากนี้ยังรวมไปถึงกระบวนวิธีเข้ารหัสสำคัญๆ หลายตัว และตัวอ่านข้อมูลแบบ ASN.1 และ x509
คาดว่าผลการตรวจสอบชุดแรกจะออกมาในเดือนมิถุนายนนี้
ที่มา - Cryptography Services, The Register
Heartbleed, SSL, TLS, Security




อ่านต่อ...