OpenSSL代码评审

Question

在不久的将来，在OpenSSL的代码中是否会有评论？OpenBSD似乎在做一个有争议的评论，因为这份评论也在“撕毁一些特定于windows的巡洋舰”。但是，是否有任何实际的安全公司正在进行代码评审，或者OpenSSL项目是否计划雇用一个？

Answer 1

OpenBSD的人们最近开始了OpenSSL代码评审，之后他们决定把OpenSSL分给LibreSSL。它们对代码的更改可以遵循这里。

截至上周，主要变化如下：

• 删除OpenSSL的bzero实现
• 免费后修正使用
• 删除issetugid的坏包装器
• 删除不正确的snprintf实现的使用
• 去除memcmp和strncasecmp再植入
• 停止随时间播撒熵池
• 停止使用私钥信息播种RNG
• 删除自定义gethostbyname
• Y 2038修复的开始
• 吨和吨的VMS/MacOS 9/Windows代码删除
• KNF格式化整个源树(jsing)