Overheden en bedrijven die van OpenSSL gebruik maken zouden meer aan de software moeten bijdragen, zo stelt de president van de OpenSSL Software Foundation. OpenSSL is een opensource implementatie van de TLS- en SSL-protocollen en wordt door een klein team van ontwikkelaars beheerd.
Via OpenSSL kunnen bijvoorbeeld websites het verkeer tussen de website en hun bezoekers versleutelen. Vorige week werd er een zeer ernstig beveiligingslek in de software ontdekt waardoor een aanvaller vertrouwelijke informatie uit het geheugen van een webserver kan bemachtigen. Daardoor is het mogelijk om zaken als wachtwoorden en cookies en in bepaalde gevallen ook de SSL-sleutels te stelen.
In een blogposting erkent president Steve Marquess de ernst van het lek, maar stelt tevens dat het eigenlijk een wonder is dat er niet meer van dit soort problemen zijn voorgekomen. Ondanks het grote belang van OpenSSL zou de stichting moeite hebben om voldoende inkomsten te genereren. Jaarlijks wordt er slechts voor 2.000 dollar aan donaties opgehaald. Het meeste geld verdienen de OpenSSL-ontwikkelaars met het uitvoeren van maatwerkopdrachten voor organisaties.
Marquess vindt echter dat het niet realistisch is dat een paar honderd of duizend mensen voor alle inkomsten verantwoordelijk zouden moeten zijn. "Degenen die echte middelen zouden moeten vrijmaken zijn de commerciële bedrijven en overheden die OpenSSL uitgebreid gebruiken en het voor lief nemen."
Wat betreft de Heartbleed-bug van vorige week laat Marquess weten dat in elke software beveiligingslekken worden gevonden. Daarnaast is de code van OpenSSL door het ontwikkelteam bekeken en zag niemand het probleem. Ook was de code voor de gehele OpenSSL-gemeenschap toegankelijk en is het niemand opgevallen.
OpenSSL wordt verder door veel multinationals en overheidsinstanties gebruikt die over voldoende middelen beschikken en het ook niet opmerkten of rapporteerden. "Het mysterie is dus niet dat een paar overwerkte vrijwilligers deze bug misten, maar het mysterie is waarom het niet vaker is voorgekomen", besluit de OpenSSL president zijn pleidooi.
Deze posting is gelocked. Reageren is niet meer mogelijk.